JP7369728B2 - Data privacy awareness in workload provisioning - Google Patents

Data privacy awareness in workload provisioning Download PDF

Info

Publication number
JP7369728B2
JP7369728B2 JP2020572936A JP2020572936A JP7369728B2 JP 7369728 B2 JP7369728 B2 JP 7369728B2 JP 2020572936 A JP2020572936 A JP 2020572936A JP 2020572936 A JP2020572936 A JP 2020572936A JP 7369728 B2 JP7369728 B2 JP 7369728B2
Authority
JP
Japan
Prior art keywords
workload
location
data
provisioned
data privacy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020572936A
Other languages
Japanese (ja)
Other versions
JP2021531552A (en
Inventor
ベルガ、セルジオ
ボルプ、ヨルゲン、エミル
ロッタ、チアゴ、セザール
ステルマー、ネット、マルコ、アウレリオ
ブロンダル、クリス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Green Market Square Ltd
Original Assignee
Green Market Square Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Green Market Square Ltd filed Critical Green Market Square Ltd
Publication of JP2021531552A publication Critical patent/JP2021531552A/en
Application granted granted Critical
Publication of JP7369728B2 publication Critical patent/JP7369728B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • G06F9/505Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the load
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5083Techniques for rebalancing the load in a distributed system
    • G06F9/5088Techniques for rebalancing the load in a distributed system involving task migration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/542Event management; Broadcasting; Multicasting; Notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information

Description

本発明は、データ処理に関し、より詳細には、分散コンピューティング環境におけるワークロードをプロビジョニングすることに関する。 TECHNICAL FIELD This invention relates to data processing and, more particularly, to provisioning workloads in distributed computing environments.

データ・プライバシーは、ほとんどの情報技術(IT)組織に関わる問題である。契約上の義務のためにデータ・プライバシー要件を有する組織もある。また、法律や法規に基づくデータ・プライバシー要件を規定している国もある。しかし、IT資産のグローバル化が進むにつれて、組織はますますその本拠地外でデータを配備することが多くなっている。そのようなデータを安全に管理することには一定の課題がある。 Data privacy is an issue that concerns most information technology (IT) organizations. Some organizations have data privacy requirements due to contractual obligations. Additionally, some countries have data privacy requirements based on laws and regulations. However, as IT assets become increasingly global, organizations increasingly deploy data outside of their home base. There are certain challenges in managing such data securely.

本発明によると、第1の場所にプロビジョニングされた第1のワークロードによってホストされている特定のデータに関連するデータ・プライバシー情報を受け取ることと、第1のワークロードを監視することとを含み、第1のワークロードを監視することは、第1のワークロードが第2のワークロードによってアクセスされるか否かを判断することと、第1のワークロードが第2のワークロードによってアクセスされるとの判断に応答して、データ・プライバシー情報において、第1のワークロードによってホストされている特定のデータに第2のワークロードがアクセスすることが許可されているものとして示されているか否かを判断することと、第1のワークロードによってホストされている特定のデータに第2のワークロードがアクセスすることを許可されているものとして示されていないとの判断に応答して、第1のワークロードによってホストされている特定のデータに第2のワークロードがアクセスすることができる(has access to)か否かを判断することと、第1のワークロードによってホストされている特定のデータに第2のワークロードがアクセスすることができるとの判断に応答して、プロセッサを使用して、データ・プライバシー情報に基づいて第1のワークロードのプロビジョニングが可能な第2の場所に、第1のワークロードを自動的にプロビジョニングすることとを含む方法がここに提供される。 According to the invention, the method includes receiving data privacy information related to particular data hosted by a first workload provisioned at a first location; and monitoring the first workload. , monitoring the first workload includes determining whether the first workload is accessed by the second workload and determining whether the first workload is accessed by the second workload. in response to the determination that the second workload is authorized to access certain data hosted by the first workload in the data privacy information; and in response to determining that the second workload is not indicated as authorized to access certain data hosted by the first workload. determining whether a second workload has access to particular data hosted by one workload; responsive to determining that the data may be accessed by the second workload, using the processor to provision the first workload to a second location capable of provisioning the first workload based on the data privacy information; and automatically provisioning a first workload.

本発明を別の観点から見ると、実行可能操作を開始するようにプログラムされたプロセッサを含むシステムであって、実行可能操作は、第1の場所にプロビジョニングされた第1のワークロードによってホストされている特定のデータに関連するデータ・プライバシー情報を受け取ることと、第1のワークロードを監視することとを含み、第1のワークロードを監視することは、第1のワークロードが第2のワークロードによってアクセスされるか否かを判断することと、第1のワークロードが第2のワークロードによってアクセスされるとの判断に応答して、データ・プライバシー情報において、第1のワークロードによってホストされている特定のデータに第2のワークロードがアクセスすることが許可されているものとして示されているか否かを判断することと、第1のワークロードによってホストされている特定のデータに第2のワークロードがアクセスすることを許可されているものとして示されていないとの判断に応答して、第1のワークロードによってホストされている特定のデータに第2のワークロードがアクセスすることができるか否かを判断することと、第1のワークロードによってホストされている特定のデータに第2のワークロードがアクセスすることができるとの判断に応答して、データ・プライバシー情報に基づいて第1のワークロードのプロビジョニングが可能な第2の場所に第1のワークロードを自動的にプロビジョニングすることとを含むシステムがここに提供される。 Viewed from another aspect of the invention, a system includes a processor programmed to initiate an executable operation, the executable operation being hosted by a first workload provisioned at a first location. receiving data privacy information related to particular data being stored in a second workload; and monitoring the first workload, wherein the first workload determining whether the first workload is to be accessed by the second workload; and in response to determining that the first workload is to be accessed by the second workload; determining whether a second workload is indicated as authorized to access particular data hosted by the first workload; a second workload accesses certain data hosted by the first workload in response to a determination that the second workload is not indicated as being authorized to access; data privacy information in response to determining that a second workload can access certain data hosted by the first workload; and automatically provisioning a first workload to a second location that is capable of provisioning the first workload based on the provisioning of the first workload.

本発明をさらに別の観点から見ると、操作を開始するようにデータ処理システムによって実行可能なプログラム・コードが記憶されたコンピュータ可読記憶媒体を含むコンピュータ・プログラム製品であって、操作は、第1の場所にプロビジョニングされた第1のワークロードによってホストされている特定のデータに関連するデータ・プライバシー情報を受け取ることと、第1のワークロードを監視することとを含み、第1のワークロードを監視することは、第1のワークロードが第2のワークロードによってアクセスされるか否かを判断することと、第1のワークロードが第2のワークロードによってアクセスされるとの判断に応答して、データ・プライバシー情報において、第1のワークロードによってホストされている特定のデータに第2のワークロードがアクセスすることが許可されているものとして示されているか否かを判断することと、第1のワークロードによってホストされている特定のデータに第2のワークロードがアクセスすることを許可されているものとして示されていないとの判断に応答して、第1のワークロードによってホストされている特定のデータに第2のワークロードがアクセスすることができるか否かを判断することと、第1のワークロードによってホストされている特定のデータに第2のワークロードがアクセスすることができるとの判断に応答して、データ・プライバシー情報に基づいて第1のワークロードのプロビジョニングが可能な第2の場所に、第1のワークロードを自動的にプロビジョニングすることとを含むコンピュータ・プログラム製品がここに提供される。 Yet another aspect of the invention is a computer program product including a computer readable storage medium having stored thereon program code executable by a data processing system to initiate an operation, the operation comprising: receiving data privacy information related to particular data hosted by the first workload provisioned at the location of the first workload; and monitoring the first workload. The monitoring includes determining whether the first workload is accessed by the second workload and responsive to determining that the first workload is accessed by the second workload. determining whether the data privacy information indicates that the second workload is authorized to access particular data hosted by the first workload; in response to determining that the second workload is not indicated as authorized to access certain data hosted by the first workload; determining whether a second workload can access particular data hosted by the first workload; and determining whether the second workload can access particular data hosted by the first workload. automatically provisioning the first workload at a second location capable of provisioning the first workload based on the data privacy information in response to determining that the first workload can be provisioned. Products are offered here.

本発明の一実施形態によるクラウド・コンピューティング環境を示す図である。1 is a diagram illustrating a cloud computing environment according to one embodiment of the invention. FIG. 本発明の一実施形態による抽象化モデル層を示す図である。FIG. 3 is a diagram illustrating an abstract model layer according to an embodiment of the invention. データ処理システムの例示のアーキテクチャを示すブロック図である。1 is a block diagram illustrating an example architecture of a data processing system. FIG. セキュリティ・アプリケーションの例示のアーキテクチャを示す図である。1 is a diagram illustrating an example architecture of a security application; FIG. データ・プライバシー・アウェアネスおよび保護を提供する方法の一例を示すフローチャートである。1 is a flowchart illustrating an example method of providing data privacy awareness and protection. ワークロードにデータ・プライバシーに関する問題があるか否かを判断するためにワークロードを監視する方法の一例を示すフローチャートである。1 is a flowchart illustrating an example method for monitoring a workload to determine whether the workload has data privacy concerns. ワークロードにデータ・プライバシーに関する問題があるか否かを判断するために、ワークロードを監視する方法の別の一例を示すフローチャートである。2 is a flowchart illustrating another example of a method for monitoring a workload to determine whether the workload has data privacy concerns.

本発明は、データ処理に関し、より詳細には、分散コンピューティング環境におけるワークロードをプロビジョニングすることに関する。 TECHNICAL FIELD This invention relates to data processing and, more particularly, to provisioning workloads in distributed computing environments.

ワークロードを管理するプロビジョニング、オーケストレータおよびブローカ・サービスは、一般に、ワークロードが、契約、法律または法規に従わずに機密データを扱っている時期を特定する機能を持たない。その結果として、そのようなワークロードを管理する責任のある組織にとって、処罰および罰金が課されることを含めて、リスクが高くなる。本明細書で記載するこの構成はそのようなリスクを低減する。 Provisioning, orchestrator, and broker services that manage workloads generally do not have the ability to identify when a workload is handling sensitive data outside of contract, law, or regulation. The result is increased risk, including penalties and fines, for organizations responsible for managing such workloads. The configuration described herein reduces such risks.

本発明によると、機密データをホストするワークロードを、ワークロードを実行する容量を有するだけでなく、そのデータをホストするためのデータ・プライバシー・ポリシーの要件も満たす場所にプロビジョニングすることができる。その際、データに関連するデータ・プライバシー情報を処理して、データ・プライバシー・ポリシーの要件を満たすとともにワークロードのために指定されたワークロード仕様を満たす容量を有する場所を特定することができる。したがって、本発明は、データ・プライバシー・ポリシーに準拠した方式でワークロードを積極的にプロビジョニングするプロセスを提供する。 According to the present invention, workloads hosting sensitive data can be provisioned in locations that not only have the capacity to run the workload, but also meet data privacy policy requirements for hosting that data. In doing so, data privacy information associated with the data may be processed to identify locations that have capacity that meets data privacy policy requirements and meets workload specifications specified for the workload. Accordingly, the present invention provides a process for proactively provisioning workloads in a data privacy policy compliant manner.

ユーザは、何らかの理由でワークロードを現在の場所から新たな場所に移動することがある。そのユーザは、データ・プライバシー・ポリシーを完全には認識していない可能性がある。しかし、本発明によると、ワークロードにデータ・プライバシーに関する問題があるか否かを判断するためにワークロードを監視することができる。また、当初、本明細書に記載のプロセスを使用してプロビジョニングされていなかったワークロードを監視し、ワークロードにデータ・プライバシーに関する問題があるか否かを判断することもできる。上記のような問題がある場合、データ・プライバシー・ポリシーに基づいて、ワークロードをホストすることができる場所にワークロードをリアル・タイムで自動的に移動することができる。そのような場所は、データ・プライバシー・ポリシーを満たすことができ、したがってデータ・プライバシー・ポリシーの違反が軽減される。また、問題を示す通知を自動的に生成し、適切な人物、例えばシステム管理者または法令順守管理者に通知することができる。このような情報を有することにより、システム管理者または法令順守管理者は、そのような問題が再発するリスクを低減するための手段を講じることができる。 Users may move their workloads from their current location to a new location for any reason. The user may not be fully aware of the data privacy policy. However, according to the present invention, a workload can be monitored to determine whether the workload has data privacy concerns. Workloads that were not originally provisioned using the processes described herein may also be monitored to determine if the workload has data privacy concerns. If you have issues like the ones above, you can automatically move workloads in real time to locations where they can be hosted based on your data privacy policy. Such locations can satisfy data privacy policies, thus reducing violations of data privacy policies. Also, a notification indicating the problem can be automatically generated and notified to the appropriate person, such as a system administrator or a compliance administrator. Having such information allows a system administrator or compliance manager to take steps to reduce the risk that such problems will occur again.

本明細書全体を通して適用されるいくつかの定義を以下に示す。 Below are some definitions that apply throughout this specification.

本明細書における定義では、「ワークロード」という用語は、デバイスまたはシステムによって実行される作業(例えば処理または記憶操作あるいはその両方)の量を意味する。 As defined herein, the term "workload" refers to the amount of work (eg, processing and/or storage operations) performed by a device or system.

本明細書における定義では、「ワークロードをプロビジョニングする」という用語は、ワークロードを処理するためのハードウェア資源およびソフトウェア資源を提供し、それらのハードウェア資源およびソフトウェア資源にワークロードを割り当てることを意味する。 As defined herein, the term "provision a workload" refers to the provision of hardware and software resources for processing a workload and the assignment of a workload to those hardware and software resources. means.

本明細書における定義では、「場所」という用語は、地理的場所を意味する。地理的場所は、所在地番地、建物名、市名、郡名、州名または省名、国名、郵便番号、グローバル・ポジショニング・システム(GPS)座標によって示すことができるか、または任意のその他の適切な方式で示すことができるか、あるいはこれら両方で行うことができる。 As defined herein, the term "location" means a geographic location. Geographic locations may be indicated by street address, building name, city, county, state or province, country, postal code, Global Positioning System (GPS) coordinates, or any other suitable name. It can be shown in both ways, or both.

本明細書における定義では、「応答して」という用語は、動作もしくはイベントに敏速に(readily)応答または反応することを意味する。したがって、第1の動作「に応答して」第2の動作が行われる場合、第1の動作の生起と第2の動作の生起との間に因果関係があり、「応答して」という用語はそのような因果関係を示す。 As defined herein, the term "responsively" means to respond or react readily to an action or event. Therefore, if a second action is performed "in response to" a first action, there is a causal relationship between the occurrence of the first action and the occurrence of the second action, and the term "in response" indicates such a causal relationship.

本明細書における定義では、「コンピュータ可読記憶媒体」という用語は、命令実行システム、装置もしくはデバイスによって、またはこれらに関連して使用するためのプログラム・コードを含むかまたは記憶する記憶媒体を意味する。本明細書における定義では、「コンピュータ可読記憶媒体」は、一過性の伝播信号自体ではない。 As defined herein, the term "computer-readable storage medium" means a storage medium that contains or stores program code for use by or in connection with an instruction execution system, apparatus or device. . As defined herein, a "computer-readable storage medium" is not a transitory propagated signal itself.

本明細書における定義では、「データ処理システム」という用語は、各ハードウェア・システムが、実行可能操作を開始するようにプログラムされた少なくとも1つのプロセッサとメモリとを含む、データを処理するように構成された1つまたは複数のハードウェア・システムを意味する。 As defined herein, the term "data processing system" refers to a hardware system configured to process data, each hardware system including at least one processor and memory programmed to initiate executable operations. Refers to one or more configured hardware systems.

本明細書における定義では、「プロセッサ」という用語は、プログラム・コードに含まれる命令を実行するように構成された少なくとも1つのハードウェア回路(例えば集積回路)を意味する。プロセッサの例には、中央処理装置(CPU)、アレイ・プロセッサ、ベクトル・プロセッサ、デジタル・シグナル・プロセッサ(DSP)、フィールド・プログラマブル・ゲート・アレイ(FPGA)、プログラマブル・ロジック・アレイ(PLA)、特定用途向け集積回路(ASIC)、プログラマブル・ロジック回路、およびコントローラが含まれるが、これらには限定されない。 As defined herein, the term "processor" means at least one hardware circuit (eg, an integrated circuit) configured to execute instructions contained in program code. Examples of processors include central processing units (CPUs), array processors, vector processors, digital signal processors (DSPs), field programmable gate arrays (FPGAs), programmable logic arrays (PLAs), Includes, but is not limited to, application specific integrated circuits (ASICs), programmable logic circuits, and controllers.

本明細書における定義では、「サーバ」という用語は、1つまたは複数の他のデータ処理システムとサービスを共用するように構成されたデータ処理システムを意味する。 As defined herein, the term "server" means a data processing system that is configured to share services with one or more other data processing systems.

本明細書における定義では、「リアル・タイム」という用語は、ユーザまたはシステムが特定のプロセスまたは行う判断にとって十分に即時的であると感じるか、またはプロセッサが何らかの外部プロセスに遅れずに対応することを可能にする、処理応答性のレベルを意味する。 As defined herein, the term "real time" refers to a process that a user or system perceives to be sufficiently immediate for a particular process or decision to be made, or for a processor to keep up with some external process. refers to the level of processing responsiveness that enables

本明細書における定義では、「自動的に」という用語は、ユーザの介入がないことを意味する。 As defined herein, the term "automatically" means without user intervention.

本明細書における定義では、「ユーザ」という用語は、人(すなわち人間)を意味する。 As defined herein, the term "user" means a person (ie, a human being).

本開示はクラウド・コンピューティングに関する詳細な説明を含むが、本明細書に記載の教示の実装は、クラウド・コンピューティング環境には限定されないことが理解される。むしろ、本発明の実施形態は、現在知られているかまたは今後開発される任意のその他の種類のコンピューティング環境とともに実装可能である。 Although this disclosure includes detailed discussion regarding cloud computing, it is understood that implementation of the teachings described herein is not limited to cloud computing environments. Rather, embodiments of the invention can be implemented with any other type of computing environment now known or hereafter developed.

クラウド・コンピューティングは、最小限の管理労力またはサービス・プロバイダとの相互作用で迅速にプロビジョニングすることができ、解放することができる、構成可能なコンピューティング資源(例えば、ネットワーク、ネットワーク帯域幅、サーバ、処理、メモリ、ストレージ、アプリケーション、仮想マシン、およびサービス)の共用プールへの便利なオンデマンドのネットワーク・アクセスを可能にするためのサービス配布のモデルである。このクラウド・モデルは、少なくとも5つの特徴と、少なくとも3つのサービス・モデルと、少なくとも4つの配備モデルとを含み得る。 Cloud computing is a collection of configurable computing resources (e.g., networks, network bandwidth, servers, A service distribution model for enabling convenient, on-demand network access to a shared pool of resources (processing, memory, storage, applications, virtual machines, and services). The cloud model may include at least five features, at least three service models, and at least four deployment models.

特徴は以下の通りである。 The characteristics are as follows.

オンデマンド・セルフサービス:クラウド消費者は、サービス・プロバイダとの間で人間の介在を必要とせずに一方的に、必要に応じて自動的に、サーバ時間およびネットワーク・ストレージなどのコンピューティング機能をプロビジョニングすることができる。 On-demand self-service: Cloud consumers can unilaterally and automatically acquire computing capabilities, such as server time and network storage, as and when needed with a service provider without the need for human interaction. Can be provisioned.

広帯域ネットワーク・アクセス:ネットワークを介して機能が利用可能であり、異種のシン・クライアントまたはシック・クライアント・プラットフォーム(例えば携帯電話、ラップトップ、およびPDA)による使用を促進する標準機構を介してアクセスすることができる。 Broadband network access: Functionality is available over the network and accessed through standard mechanisms that facilitate use by disparate thin or thick client platforms (e.g., mobile phones, laptops, and PDAs) be able to.

資源プール:マルチテナント・モデルを使用して複数の消費者に対応するために、プロバイダのコンピューティング資源がプールされ、需要に応じて、異なる物理資源および仮想資源が動的に割り当てられ、再割り当てされる。消費者は一般に、提供される資源の厳密な場所について管理することができないかまたは知らないが、より高い抽象レベルの場所(例えば、国、州、またはデータ・センター)を指定することが可能な場合があるという点で、位置独立感がある。 Resource pooling: provider computing resources are pooled to serve multiple consumers using a multi-tenant model, and different physical and virtual resources are dynamically allocated and reallocated based on demand. be done. Consumers generally have no control over or do not know the exact location of the resources provided, but are able to specify locations at higher levels of abstraction (e.g., country, state, or data center) There is a sense of position independence in that there are cases.

迅速な伸縮性:迅速かつ伸縮性をもって、場合によっては自動的に機能をプロビジョニングして、迅速にスケールアウトすることができ、また、迅速に機能を解放して迅速にスケールインすることができる。消費者にとっては、プロビジョニングのために利用可能な機能はしばしば無限であるように見え、いつでも好きなだけ購入することができる。 Rapid elasticity: You can quickly and elastically provision capabilities to quickly scale out, and you can rapidly release capabilities to quickly scale in. For consumers, the functionality available for provisioning often appears limitless, allowing them to purchase as much as they want at any time.

従量制サービス:クラウド・システムが、サービスの種類(例えば、ストレージ、処理、帯域幅、およびアクティブ・ユーザ・アカウント)に応じて適切な何らかの抽象化レベルの計量機能を利用することによって、資源利用を自動的に制御し、最適化する。資源使用量を監視、制御および報告することができ、利用されたサービスの透明性をプロバイダと消費者の両方に与えることができる。 Metered service: A cloud system controls resource usage by utilizing metering at some level of abstraction appropriate to the type of service (e.g., storage, processing, bandwidth, and active user accounts). Automatically control and optimize. Resource usage can be monitored, controlled and reported, providing transparency of the services utilized to both providers and consumers.

サービス・モデルは以下の通りである。 The service model is as follows.

ソフトウェア・アズ・ア・サービス(Software as a Service:Saas):消費者に提供される機能は、クラウド・インフラストラクチャ上で稼働するプロバイダのアプリケーションを使用することである。アプリケーションには、ウェブ・ブラウザなどのシン・クライアント・インターフェースを介して様々なクライアント・デバイスからアクセス可能である(例えばウェブ・ベースのEメール)。消費者は、限られたユーザ固有アプリケーション構成設定の考えられる例外を除き、ネットワーク、サーバ、オペレーティング・システム、ストレージ、または個別のアプリケーション機能まで含めて、基礎にあるクラウド・インフラストラクチャを管理も制御もしない。 Software as a Service (Saas): The functionality offered to consumers is to use a provider's applications running on a cloud infrastructure. The application is accessible from a variety of client devices through a thin client interface such as a web browser (eg, web-based email). With the possible exception of limited user-specific application configuration settings, consumers have no control or control over the underlying cloud infrastructure, including networks, servers, operating systems, storage, or even individual application functions. do not.

プラットフォーム・アズ・ア・サービス(Platform as a Service:PaaS):消費者に提供される機能は、クラウド・インフラストラクチャ上に、プロバイダによってサポートされるプログラミング言語およびツールを使用して作成された、消費者作成または取得アプリケーションを配備することである。消費者は、ネットワーク、サーバ、オペレーティング・システム、またはストレージを含む、基礎にあるクラウド・インフラストラクチャを管理も制御もしないが、配備されたアプリケーションと、場合によってはアプリケーション・ホスティング環境構成とを制御することができる。 Platform as a Service (PaaS): The functionality provided to consumers is created using programming languages and tools supported by the provider on a cloud infrastructure. Users can create or acquire applications by deploying them. Consumers do not manage or control the underlying cloud infrastructure, including networks, servers, operating systems, or storage, but they do control deployed applications and, in some cases, application hosting environment configurations. be able to.

インフラストラクチャ・アズ・ア・サービス(Infrastructure as a Service:IaaS):消費者に提供される機能は、処理、ストレージ、ネットワークおよびその他の基本的コンピューティング資源をプロビジョニングすることであり、その際、消費者は、オペレーティング・システムとアプリケーションとを含み得る任意のソフトウェアを配備し、実行することができる。消費者は、基礎にあるクラウド・インフラストラクチャを管理も制御もしないが、オペレーティング・システムと、ストレージと、配備されたアプリケーションとを制御することができ、場合によっては選択されたネットワーク・コンポーネント(例えばホスト・ファイアウォール)の限定的な制御を行うことができる。 Infrastructure as a Service (IaaS): The ability provided to consumers to provision processing, storage, networks, and other basic computing resources, with A person can deploy and run any software, which may include an operating system and applications. Consumers do not manage or control the underlying cloud infrastructure, but can control the operating system, storage, deployed applications, and in some cases select network components (e.g. host firewall).

配備モデルは以下の通りである。 The deployment model is as follows.

プライベート・クラウド:このクラウド・インフラストラクチャは、組織のためにのみ運用される。組織または第三者によって管理されることができ、オンプレミスまたはオフプレミスに存在可能である。 Private Cloud: This cloud infrastructure is operated solely for the benefit of the organization. Can be managed by your organization or a third party and can exist on-premises or off-premises.

コミュニティ・クラウド:このクラウド・インフラストラクチャは、いくつかの組織によって共用され、共通の関心事(例えば、任務、セキュリティ要件ポリシー、および法令順守事項)を有する特定のコミュニティをサポートする。組織または第三者が管理することができ、オンプレミスまたはオフプレミスに存在可能である。 Community Cloud: This cloud infrastructure is shared by several organizations to support specific communities with common interests (e.g., missions, security requirements policies, and regulatory compliance matters). Can be managed by your organization or a third party and can reside on-premises or off-premises.

パブリック・クラウド:このクラウド・インフラストラクチャは、公衆または大規模業界団体が利用することができ、クラウド・サービスを販売する組織によって所有される。 Public Cloud: This cloud infrastructure is available to the public or large industry groups and is owned by organizations that sell cloud services.

ハイブリッド・クラウド:このクラウド・インフラストラクチャは、独自の実体のままであるが、データおよびアプリケーション可搬性を可能にする標準化技術または専有技術(例えば、クラウド間の負荷バランシングのためのクラウド・バースティング)によって結合された、2つ以上のクラウド(プライベート、コミュニティまたはパブリック)の複合体である。 Hybrid cloud: This cloud infrastructure remains its own entity, but includes standardized or proprietary technologies that enable data and application portability (e.g., cloud bursting for load balancing between clouds) A complex of two or more clouds (private, community or public) joined by a cloud.

クラウド・コンピューティング環境は、ステートレス性、疎結合性、モジュール性、および意味的な相互運用性に焦点を合わせたサービス指向型である。クラウド・コンピューティングの核心にあるのは、相互接続されたノードのネットワークを含むインフラストラクチャである。 Cloud computing environments are service-oriented, with a focus on statelessness, loose coupling, modularity, and semantic interoperability. At the heart of cloud computing is an infrastructure that includes a network of interconnected nodes.

次に図1を参照すると、クラウド・コンピューティング環境50が図示されている。図のように、クラウド・コンピューティング環境50は、例えばパーソナル・デジタル・アシスタント(PDA)または携帯電話54A、デスクトップ・コンピュータ54B、ラップトップ・コンピュータ54C、または自動車コンピュータ・システム54Nあるいはこれらの組合せなど、クラウド消費者によって使用されるローカル・コンピューティング・デバイスが通信することができる、1つまたは複数のクラウド・コンピューティング・ノード10を含む。ノード10は互いに通信することができる。ノードは、上述のプライベート・クラウド、コミュニティ・クラウド、パブリック・クラウドまたはハイブリッド・クラウドあるいはこれらの組合せなどの1つまたは複数のネットワークにおいて物理的または仮想的にグループ化(図示せず)されてもよい。これによって、クラウド・コンピューティング環境50は、インフラストラクチャ、プラットフォーム、またはソフトウェアあるいはこれらの組合せを、クラウド消費者がそのためにローカル・コンピューティング・デバイス上で資源を維持する必要がないサービスとして提供することができる。なお、図1に示すコンピューティング・デバイス54Aないし54Nの種類は、例示を意図したものに過ぎず、コンピューティング・ノード10およびクラウド・コンピューティング環境50は、(例えばウェブ・ブラウザを使用して)任意の種類のネットワークまたはネットワーク・アドレス指定可能接続あるいはその両方を介して、任意の種類のコンピュータ化デバイスと通信することができるものと理解される。 Referring now to FIG. 1, a cloud computing environment 50 is illustrated. As shown, cloud computing environment 50 includes, for example, a personal digital assistant (PDA) or mobile phone 54A, a desktop computer 54B, a laptop computer 54C, and/or a vehicle computer system 54N. It includes one or more cloud computing nodes 10 with which local computing devices used by cloud consumers can communicate. Nodes 10 can communicate with each other. The nodes may be physically or virtually grouped (not shown) in one or more networks, such as private clouds, community clouds, public clouds, or hybrid clouds or combinations thereof as described above. . Cloud computing environment 50 thereby provides infrastructure, platforms, and/or software as a service for which cloud consumers do not need to maintain resources on their local computing devices. I can do it. It should be noted that the types of computing devices 54A-54N shown in FIG. 1 are intended to be exemplary only; computing nodes 10 and cloud computing environment 50 may be It is understood that any type of computerized device can communicate with any type of computerized device via any type of network and/or network addressable connection.

次に、図2を参照すると、クラウド・コンピューティング環境50(図1)によって提供される1組の機能抽象化層が示されている。なお、図2に示すコンポーネント、層および機能は、例示のみを意図したものであり、本発明の実施形態はこれらには限定されないことを前もって理解されたい。図のように、以下の層および対応する機能が提供される。 Referring now to FIG. 2, a set of functional abstraction layers provided by cloud computing environment 50 (FIG. 1) is illustrated. It should be understood in advance that the components, layers, and functions illustrated in FIG. 2 are intended to be illustrative only, and embodiments of the present invention are not limited thereto. As shown, the following layers and corresponding functionality are provided:

ハードウェアおよびソフトウェア層60は、ハードウェア・コンポーネントとソフトウェア・コンポーネントとを含む。ハードウェア・コンポーネントの例としては、メインフレーム61、縮小命令セット・コンピュータ(Reduced Instruction Set Computer:RISC)アーキテクチャ・ベースのサーバ62、サーバ63、ブレード・サーバ64、ストレージ・デバイス65、およびネットワークおよびネットワーキング・コンポーネント66がある。いくつかの実施例によっては、ソフトウェア・コンポーネントは、ネットワーク・アプリケーション・サーバ・ソフトウェア67およびデータベース・ソフトウェア68を含む。 Hardware and software layer 60 includes hardware and software components. Examples of hardware components include mainframes 61, reduced instruction set computer (RISC) architecture-based servers 62, servers 63, blade servers 64, storage devices 65, and networks and networking. - There is a component 66. In some embodiments, the software components include network application server software 67 and database software 68.

仮想化層70は、以下のような仮想実体の例を与えることができる抽象化層を提供する。すなわち、仮想サーバ71と、仮想ストレージ72と、仮想プライベート・ネットワークを含む仮想ネットワーク73と、仮想アプリケーションおよびオペレーティング・システム74と、仮想クライアント75である。 Virtualization layer 70 provides an abstraction layer that can provide examples of virtual entities such as: That is, a virtual server 71 , a virtual storage 72 , a virtual network 73 including a virtual private network, a virtual application and operating system 74 , and a virtual client 75 .

一実施例では、管理層80は、以下に記載の機能を提供することができる。資源プロビジョニング81は、クラウド・コンピューティング環境内でタスクを実行するために利用されるコンピューティング資源およびその他の資源の動的調達を行う。メータリングおよびプライシング82は、クラウド・コンピューティング環境内で資源が利用されるときのコスト追跡と、これらの資源の消費に対する対価の請求またはインボイス処理を行う。一実施例ではこれらの資源にはアプリケーション・ソフトウェア・ライセンスが含まれ得る。ユーザ・ポータル83は、消費者およびシステム管理者にクラウド・コンピューティング環境へのアクセスを提供する。サービス・レベル管理84は、必要なサービス・レベルが満たされるようにクラウド・コンピューティング資源割り当ておよび管理を行う。サービス・レベル・アグリーメント(Service Level Agreement:SLA)計画および履行85は、SLAに従って将来の要求が予想されるクラウド・コンピューティング資源のための事前取り決めおよび調達を行う。セキュリティ86は、クラウド消費者およびタスクのための本人検証と、データ・プライバシー・アウェアネスおよび保護を含むデータおよびその他の資源の保護とを行う。 In one embodiment, management layer 80 may provide the functionality described below. Resource provisioning 81 provides for the dynamic procurement of computing and other resources utilized to perform tasks within a cloud computing environment. Metering and pricing 82 provides cost tracking as resources are utilized within a cloud computing environment and billing or invoicing for the consumption of these resources. In one embodiment, these resources may include application software licenses. User portal 83 provides access to the cloud computing environment for consumers and system administrators. Service level management 84 provides cloud computing resource allocation and management so that required service levels are met. Service Level Agreement (SLA) planning and implementation 85 pre-arranges and procures cloud computing resources for anticipated future demands in accordance with the SLA. Security 86 provides identity verification for cloud consumers and tasks and protection of data and other resources, including data privacy awareness and protection.

ワークロード層90は、クラウド・コンピューティング環境をそのために利用することができる機能の例を提供する。この層から提供することができるワークロードおよび機能の例には、マッピングおよびナビゲーション91、ソフトウェア開発およびライフサイクル管理92、仮想教室教育配信93、データ分析処理94、およびトランザクション処理95が含まれる。 Workload layer 90 provides an example of functionality for which a cloud computing environment can be utilized. Examples of workloads and functions that can be provided from this layer include mapping and navigation 91, software development and lifecycle management 92, virtual classroom education delivery 93, data analysis processing 94, and transaction processing 95.

図3は、データ処理システム300のブロック図である。データ処理システム300は、図1のクラウド・コンピューティング環境、例えば図2のハードウェアおよびソフトウェア層60において配備可能である。例として、データ処理システム300は、RISCベースのサーバ62、サーバ63、またはブレード・サーバ64として実装可能である。 FIG. 3 is a block diagram of data processing system 300. Data processing system 300 may be deployed in the cloud computing environment of FIG. 1, such as hardware and software layer 60 of FIG. 2. By way of example, data processing system 300 may be implemented as a RISC-based server 62, server 63, or blade server 64.

データ処理システム300は、システム・バス315またはその他の適合する回路を介して記憶素子310に結合された少なくとも1つのプロセッサ305(例えば中央処理装置)を含み得る。したがって、データ処理システム300は、記憶素子310内にプログラム・コードを記憶することができる。プロセッサ305は、システム・バス315を介して記憶素子310からアクセスされるプログラム・コードを実行することができる。データ処理システム300は、本明細書に記載の機能または操作あるいはその両方を実行可能な、プロセッサとメモリとを含む任意のシステムの形態で実装可能であることを理解されたい。 Data processing system 300 may include at least one processor 305 (eg, a central processing unit) coupled to storage element 310 via a system bus 315 or other suitable circuitry. Accordingly, data processing system 300 may store program code within storage element 310. Processor 305 may execute program code accessed from storage element 310 via system bus 315 . It should be understood that data processing system 300 can be implemented in the form of any system that includes a processor and memory that is capable of performing the functions and/or operations described herein.

記憶素子310は、1つまたは複数のコンピュータ可読記憶媒体を含み得る。コンピュータ可読記憶媒体は、例えばローカル・メモリ320および1つまたは複数のバルク・ストレージ・デバイス325などの物理メモリ・デバイスとすることができる。ローカル・メモリ320は、プログラム・コードの実際の実行時に一般的に使用されるランダム・アクセス・メモリ(RAM)またはその他の非永続メモリ・デバイスを指す。バルク・ストレージ・デバイス325は、ハード・ディスク・ドライブ(HDD)、ソリッド・ステート・デバイス(SSD)、またはその他の永続データ・ストレージ・デバイスとして実装され得る。バルク・ストレージ・デバイス325は、データ処理システム300のストレージ・システムによって維持可能である。バルク・ストレージ・デバイス325は、例えば、データ処理システム300に通信可能に連結されたストレージ・システムのコンポーネントとして、データ処理システムの外部にあってもよい。記憶素子310は、プログラム・コードが実行中にバルク・ストレージ・デバイス325から取り出される必要がある回数を減らすために、少なくとも一部のプログラム・コードの一時的ストレージを提供する、1つまたは複数のキャッシュ・メモリ330も含み得る。 Storage element 310 may include one or more computer-readable storage media. Computer-readable storage media can be physical memory devices, such as local memory 320 and one or more bulk storage devices 325, for example. Local memory 320 refers to random access memory (RAM) or other non-persistent memory devices commonly used during the actual execution of program code. Bulk storage device 325 may be implemented as a hard disk drive (HDD), solid state device (SSD), or other persistent data storage device. Bulk storage device 325 can be maintained by a storage system of data processing system 300. Bulk storage device 325 may be external to data processing system 300, for example, as a component of a storage system communicatively coupled to data processing system 300. Storage element 310 includes one or more memory devices that provide temporary storage of at least some program code to reduce the number of times the program code needs to be retrieved from bulk storage device 325 during execution. Cache memory 330 may also be included.

データ処理システム300には、ディスプレイ335およびその他の外部デバイス340(例えば、ポインティング・デバイス、キーボードなど)などの入力/出力(I/O)デバイスを結合することができる。I/Oデバイスは、直接、または介在するI/Oインターフェース345を介してデータ処理システム300に結合可能である。例えば、ディスプレイ335は、プロセッサ305のコンポーネントまたは個別デバイスとすることができるグラフィカル・プロセッシング・ユニット(GPU)を介してデータ処理システム300に結合することができる。データ処理システム300が、介在するプライベート・ネットワークまたはパブリック・ネットワークを介して、他のシステム、コンピュータ・システム、リモート・プリンタまたはリモートストレージ・デバイスあるいはこれらの組合せに結合された状態になることができるように、1つまたは複数のネットワーク・アダプタ350もデータ処理システム300に結合可能である。モデム、ケーブル・モデム、送受信器およびEthernet(登録商標)カードが、データ処理システム300とともに使用可能なネットワーク・アダプタ350の様々な種類の例である。 Input/output (I/O) devices may be coupled to data processing system 300, such as a display 335 and other external devices 340 (eg, pointing device, keyboard, etc.). I/O devices can be coupled to data processing system 300 directly or through intervening I/O interfaces 345 . For example, display 335 can be coupled to data processing system 300 through a graphical processing unit (GPU), which can be a component of processor 305 or a separate device. Data processing system 300 may become coupled to other systems, computer systems, remote printers, and/or remote storage devices through intervening private or public networks. Additionally, one or more network adapters 350 may also be coupled to data processing system 300. Modems, cable modems, transceivers, and Ethernet cards are examples of various types of network adapters 350 that can be used with data processing system 300.

図3に示すように、記憶素子310は、データ処理システム300のコンポーネント、例えば、本明細書に記載の実施形態のプロセスまたは方法あるいはその両方を実施するように構成された1つまたは複数のコンピュータ・プログラム・モジュール360を含む、少なくとも1つのコンピュータ・プログラムまたはユーティリティ(以下「プログラム/ユーティリティ」)355を記憶することができる。プログラム/ユーティリティ355は、例えばセキュリティ86を与えるための図2の管理層80のコンポーネントとすることができる。実行可能プログラム・コードの形態で実装されているので、プログラム/ユーティリティ355はデータ処理システム300によって実行可能であり、したがってデータ処理システム300の一部とみなすことができる。また、プログラム/ユーティリティ355は、データ処理システム300の一部として採用されると機能を付与する機能データ構造(例えばコンピュータ・プログラム・モジュール360)を含む。 As shown in FIG. 3, storage element 310 may be a component of data processing system 300, such as one or more computers configured to implement the processes and/or methods of the embodiments described herein. - At least one computer program or utility (hereinafter "program/utility") 355 may be stored, including a program module 360. Program/utility 355 may be a component of management layer 80 of FIG. 2, for example to provide security 86. Because they are implemented in the form of executable program code, programs/utilities 355 are executable by and thus may be considered part of data processing system 300 . Programs/utilities 355 also include functional data structures (eg, computer program modules 360) that provide functionality when employed as part of data processing system 300.

図4に、データ・プライバシー・アウェアネスおよび保護を含むセキュリティ86(図2)を提供するプログラム/ユーティリティ355のための例示のアーキテクチャ400を示す。前述のように、プログラム/ユーティリティ355は、コンピュータ・プログラム・モジュール360、例えばデータ・インターフェース402と、場所選択部404と、ワークロード・プロビジョニング部406と、場所および容量監視部408と、ワークロード監視部410と、データ・プライバシー問題通知部412と、データ・プライバシー制約データ414とを含み得る。 FIG. 4 shows an example architecture 400 for program/utility 355 that provides security 86 (FIG. 2), including data privacy awareness and protection. As previously discussed, programs/utilities 355 include computer program modules 360, such as data interface 402, location selection 404, workload provisioning 406, location and capacity monitoring 408, and workload monitoring. 410 , a data privacy issue notification section 412 , and data privacy constraint data 414 .

アーキテクチャ400は、データ・プライバシー・アドバイザ・アプリケーション420とハイパーバイザ422とをさらに含み得る。ハイパーバイザ422(当技術分野では仮想マシン・モニタとも知られている)は、仮想マシンを作成し、稼働させるコンピュータ・ソフトウェア、ファームウェア、またはハードウェアである。ハイパーバイザが1つまたは複数の仮想マシンを稼働させるデータ処理システムは、ホスト・マシンと呼ばれ、各仮想マシンはゲスト・マシンと呼ばれる。プログラム/ユーティリティ355は、ゲスト・マシン上で実行可能であるが、本構成はこの点については限定されない。プログラム/ユーティリティ355は、プログラム/ユーティリティ355が実行されていないホスト・マシンと1つまたは複数の通信ネットワークを介して通信することができる。 Architecture 400 may further include a data privacy advisor application 420 and a hypervisor 422. Hypervisor 422 (also known in the art as a virtual machine monitor) is computer software, firmware, or hardware that creates and runs virtual machines. A data processing system on which a hypervisor runs one or more virtual machines is called a host machine, and each virtual machine is called a guest machine. Program/utility 355 may be executable on a guest machine, although the present configuration is not limited in this regard. Program/utility 355 may communicate with a host machine on which program/utility 355 is not running via one or more communication networks.

一構成では、データ・プライバシー・アドバイザ・アプリケーション420は、プログラム/ユーティリティ355のコンポーネントとすることができる。他の構成では、データ・プライバシー・アドバイザ・アプリケーション420は、プログラム/ユーティリティ355の外部にあってよいが、プログラム/ユーティリティ355は、例えば1つまたは複数の通信ネットワークまたはシステム・バスを介してデータ・プライバシー・アドバイザ・アプリケーション420に通信可能にリンクすることができる。例えば、データ・プライバシー・アドバイザ・アプリケーション420は、プログラム/ユーティリティ355が実行されているのと同じデータ処理システム上で(例えば同じゲスト・マシンまたは異なるゲスト・マシン上で)、または、プログラム/ユーティリティ355が実行されるデータ処理システムとは異なる1つまたは複数のデータ処理システム上で実行可能である。 In one configuration, data privacy advisor application 420 may be a component of program/utility 355. In other configurations, the data privacy advisor application 420 may be external to the program/utility 355, but the program/utility 355 may communicate with the data via, for example, one or more communication networks or system buses. A privacy advisor application 420 can be communicatively linked. For example, data privacy advisor application 420 may run on the same data processing system (e.g., on the same guest machine or a different guest machine) that program/utility 355 is running; may be executed on one or more data processing systems different from the data processing system on which the program is executed.

データ・インターフェース402は、データ・プライバシーおよびワークロード仕様入力情報430を受け取るように構成される。一構成では、データ・インターフェース402は、例えば、ユーザが対話してデータ・プライバシーおよびワークロード仕様入力情報430を入力するために使用するユーザ・インターフェース(例えばグラフィカル・ユーザ・インターフェース)とすることができる。別の構成では、データ・インターフェース402は、1つまたは複数のデータ源から、例えば1つもしくは複数のデータ・テーブルまたは1つもしくは複数のデータ・ファイルあるいはその両方から、データ・プライバシーおよびワークロード仕様入力情報430にアクセスするように構成されたインターフェースとすることができる。データ・プライバシーおよびワークロード仕様入力情報430は、データ・プライバシー情報432とワークロード仕様434とを含み得る。 Data interface 402 is configured to receive data privacy and workload specification input information 430. In one configuration, data interface 402 can be, for example, a user interface (e.g., a graphical user interface) that a user uses to interact and enter data privacy and workload specification input information 430. . In another configuration, the data interface 402 provides data privacy and workload specifications from one or more data sources, such as from one or more data tables and/or one or more data files. It can be an interface configured to access input information 430. Data privacy and workload specification input information 430 may include data privacy information 432 and workload specification 434.

データ・プライバシー情報432は、プログラム/ユーティリティ355によってプロビジョニングされたワークロードによって処理されるデータのデータ・プライバシー要件を示す属性を含み得る。例示として、データ・プライバシー情報432は、例えばラベル、注釈、またはメタデータあるいはこれらの組合せを使用して、データのデータ・プライバシー分類を指定することができる。プライバシー分類の例には、「機密データ」、「非機密データ」、「極秘データ」、「部外秘データ」、「個人データ」、「機密技術」、または、「パスポート・データ」、「社会保障番号データ」、「郵送先住所データ」、「口座番号データ」、「Eメール・アドレス・データ」、「電話番号データ」、「パスワード・データ」、「ログイン・データ」などのより低いレベルが含まれるが、これらには限定されない。 Data privacy information 432 may include attributes indicating data privacy requirements for data processed by workloads provisioned by program/utility 355. By way of example, data privacy information 432 may specify data privacy classifications of data using, for example, labels, annotations, and/or metadata. Examples of privacy classifications include "confidential data," "non-confidential data," "confidential data," "confidential data," "personal data," "sensitive technology," or "passport data," "social Lower level information such as "security number data", "mailing address data", "account number data", "email address data", "phone number data", "password data", "login data" Including, but not limited to:

ワークロード仕様434は、データをホストするワークロードのプロビジョニング先となり得るシステムの要件を示す属性を含み得る。例示として、ワークロード仕様434は、ワークロードをプロビジョニングするために使用されるハードウェアまたはソフトウェアあるいはその両方を示すことができる。一構成では、ワークロード仕様434は、必要なハードウェア資源またはソフトウェア資源あるいはその両方を指定する属性を含み得る。例えば、ユーザがハードウェア資源要件またはソフトウェア資源要件あるいはその両方を入力してもよい。別の構成では、ワークロード仕様434は、ワークロードまたはデータあるいはその両方に適用可能なSLAを指定する属性を含み得る。このような構成では、場所選択部404が、ワークロード仕様434で指定されているSLAを特定し、適切なデータ記憶場所からSLAにアクセスし、SLAにあるハードウェア資源またはソフトウェア資源あるいはその両方の適用可能な要件を特定することができる。 Workload specification 434 may include attributes that indicate the requirements of the system to which the workload hosting data may be provisioned. By way of example, workload specification 434 may indicate the hardware and/or software used to provision the workload. In one configuration, workload specification 434 may include attributes that specify required hardware and/or software resources. For example, a user may input hardware resource requirements and/or software resource requirements. In another configuration, workload specification 434 may include attributes that specify SLAs applicable to the workload and/or data. In such a configuration, the location selector 404 identifies the SLA specified in the workload specification 434, accesses the SLA from the appropriate data storage location, and locates the hardware and/or software resources in the SLA. Be able to identify applicable requirements.

ハードウェア資源要件の例には、プロセッサ数、プロセッサ・コア数、最小プロセッサ周波数、1クロック・サイクル当たりの最少命令数、毎秒最少演算数、ローカル・メモリ量、バルク・ストレージ量、キャッシュ・メモリ量などが含まれるが、これらには限定されない。ソフトウェア資源要件の例には、オペレーティング・システムの種類、特定のオペレーティング・システム、オペレーティング・システムの特定のバージョン、1つもしくは複数の必要なプログラム(例えば、アプリケーション)、またはユーティリティあるいはその両方、1つもしくは複数の必要なプログラムまたはユーティリティあるいはその両方の必要なバージョンなどが含まれるが、これらには限定されない。 Examples of hardware resource requirements include number of processors, number of processor cores, minimum processor frequency, minimum number of instructions per clock cycle, minimum number of operations per second, amount of local memory, amount of bulk storage, amount of cache memory. These include, but are not limited to. Examples of software resource requirements include the type of operating system, a particular operating system, a particular version of an operating system, one or more required programs (e.g., applications), and/or utilities. or the required versions of multiple required programs and/or utilities.

データ・プライバシー情報およびワークロード仕様入力情報430を受け取ることに応答して、場所選択部404は、場所および容量監視部408にワークロード仕様434を示す要求を伝達することができる。この要求に応答して、場所および容量監視部408は、ハイパーバイザ422と通信して、ハイパーバイザ422の場所と、ハイパーバイザ422が稼働し、ワークロード仕様434を満たすシステム(例えばデータ処理システムまたはストレージ・システムあるいはその両方)の利用可能なワークロード容量とを示す、場所および容量情報436を監視または捕捉することができる。場所および容量情報436は、システムに配備可能なワークロードの種類も示すことができる。場所および容量監視部408は、場所および容量情報436を場所選択部404に伝達することができる。 In response to receiving data privacy information and workload specification input information 430, location selector 404 can communicate a request indicating workload specification 434 to location and capacity monitor 408. In response to this request, location and capacity monitor 408 communicates with hypervisor 422 to determine the location of hypervisor 422 and the systems (e.g., data processing systems or Location and capacity information 436 can be monitored or captured indicating the available workload capacity of the storage system or both. Location and capacity information 436 may also indicate the types of workloads that can be deployed on the system. Location and capacity monitor 408 may communicate location and capacity information 436 to location selector 404 .

場所選択部404は、データ・プライバシー・アドバイザ・アプリケーション420にデータ・プライバシー情報432を伝達することもできる。データ・プライバシー・アドバイザ・アプリケーション420は、データ・プライバシー情報432を解析し、その解析に基づいて、データの処理または記憶あるいはその両方を行うことになるワークロードをプロビジョニングすることができる場所を判断することができる。解析は、データ・プライバシー・ポリシーにアクセスすることと、データ・プライバシー・ポリシーをデータ・プライバシー情報432に適用することとを含み得る。 Location selector 404 may also communicate data privacy information 432 to data privacy advisor application 420. Data privacy advisor application 420 analyzes data privacy information 432 and, based on the analysis, determines where workloads that will process and/or store data may be provisioned. be able to. The analysis may include accessing the data privacy policy and applying the data privacy policy to the data privacy information 432.

データ・プライバシー・ポリシーは、データ・プライバシー法、データ・プライバシー法規、またはその他の定められ得る可能なデータ・プライバシー規則あるいはこれらの組合せに基づくことができる。データ・プライバシー・ポリシーは、どのような分類のデータを、所定の供給源から、ワークロードをプロビジョニングすることが可能な様々な場所に転送することが可能か不可能かを指定することができる。例えば、特定の場所について、データ・プライバシー・ポリシーは、その場所でプロビジョニングされているワークロードによってホスト可能な様々な供給源からのデータのクラスを指定することができ、その場所でプロビジョニングされているワークロードによってホストすることができない様々な供給源からのデータのクラスを指定することができる。例示として、データ・ポリシーは、「極秘データ」としてラベル付けされたデータが特定の国でプロビジョニングされているか、または特定のセキュリティ要件を満たすデータ・センターでプロビジョニングされているか、あるいはその両方であるワークロードによってのみホストされることが許されることを示すことができる。データ・ポリシーは、「個人データ」としてラベル付けされたデータが、特定のセキュリティ要件を満たすデータ・センターでプロビジョニングされているワークロードによってのみホストされることが許されることを示すこともできる。また、データ・ポリシーは、「非機密」データとしてラベル付けされたデータが、最低限のレベルのセキュリティ要件を満たすデータ・センターでプロビジョニングされているワークロードによってホストされることが許されることを示すことができる。ただし、本構成はこれらの例には限定されない。 The data privacy policy may be based on data privacy laws, data privacy legislation, and/or other possible data privacy regulations that may be established. A data privacy policy can specify what categories of data can or cannot be transferred from a given source to various locations where workloads can be provisioned. For example, for a particular location, a data privacy policy can specify classes of data from different sources that can be hosted by workloads provisioned at that location, and Classes of data from various sources that cannot be hosted by the workload can be specified. By way of example, a data policy may apply to work where data labeled as "sensitive data" is provisioned in a specific country and/or in a data center that meets specific security requirements. Can indicate that it is only allowed to be hosted by a load. Data policies may also indicate that data labeled as "personal data" is only allowed to be hosted by workloads provisioned in data centers that meet specific security requirements. The data policy also indicates that data labeled as "non-sensitive" data is allowed to be hosted by workloads provisioned in data centers that meet a minimum level of security requirements. be able to. However, this configuration is not limited to these examples.

データ・プライバシー・ポリシーは、機械学習モデルを適用することによりポリシー文書を統計的に解析して構造化データを生成するとともに、ポリシーに基づいて動作を許可または拒絶するためにプロセスでさらに検討される必要のある、非構造化データのうちの重要な部分/要素として定義された事前定義済みのスキーマに基づき、リレーショナル・ナレッジ・データベースにデータを格納する、ポリシー・システム(図示せず)によって維持することができる。ポリシー・システムでは、自然言語の複数の文書を解析し、どのような種類のデータを所定の供給源から宛先に転送することが可能かまたは可能でないかの規則を使用して事前定義済みナレッジ・データベースを作成するための要素を見つけることができる。データベースは、ポリシー文書がデジタル的に転送可能もしくは不能なデータまたは情報に関して言及していることの重要な部分である実体または要素を保持することができる。データベースには、様々な手段によってアクセスすることができ、その中で文書がまだ処理されていないポリシーの細かい変更がある場合に手動で更新することも可能である。また、データベースは、サイバー・セキュリティを実施するために政府との共同作業で作成することができる。 Data privacy policies are statistically analyzed by applying machine learning models to generate structured data that is further reviewed in the process to allow or deny actions based on the policy. Maintained by a policy system (not shown) that stores data in a relational knowledge database based on a predefined schema defined as key pieces/elements of unstructured data that are required be able to. A policy system parses multiple documents in natural language and uses predefined knowledge rules to determine what types of data can and cannot be transferred from a given source to a destination. You can find the elements to create a database. The database may hold entities or elements that are an important part of what the policy document refers to as regards data or information that may or may not be digitally transferable. The database can be accessed by a variety of means, including being manually updated if there are minor policy changes for which documents have not yet been processed. Databases can also be created in collaboration with governments to implement cyber security.

データ・プライバシー・アドバイザ・アプリケーション420は、決定された場所に基づいて、データをホストするためのデータ・プライバシー・ポリシーの要件を満たすと判断された場所を示す許可場所情報438を生成することができる。データ・プライバシー・アドバイザ・アプリケーション420は、許可場所情報438を場所選択部404に伝達することができる。データ・プライバシー・アドバイザ・アプリケーション420または場所選択部404は、許可場所情報をワークロード監視部410に伝達することができる。許可場所情報438から、場所選択部404は、データをホストするためにワークロードのプロビジョニングが可能な場所を候補場所として特定することができる。 Based on the determined location, data privacy advisor application 420 may generate permitted location information 438 indicating locations determined to meet the requirements of the data privacy policy for hosting data. . Data privacy advisor application 420 may communicate allowed location information 438 to location selector 404 . Data privacy advisor application 420 or location selector 404 may communicate allowed location information to workload monitor 410 . From the permitted location information 438, the location selector 404 can identify candidate locations where workloads can be provisioned to host data.

場所選択部404は、許可場所情報438と場所および容量情報436とに基づいて、データをホストするためにワークロードをプロビジョニングする少なくとも1つの場所を候補場所から自動的に選択することができる。選択される場所は、場所および容量情報436に基づいて、データをホストするためのデータ・プライバシー・ポリシーの要件を満たすと判断される場所であって、ワークロードを実行するために利用可能な容量を有するとともにワークロード仕様434を満たす少なくとも1つのシステム(例えばデータ処理システムまたはストレージ・システムあるいはその両方)を有する、許可場所情報438で示されている場所とすることができる。場所選択部404は、選択された場所を特定するとともに選択された場所で1つまたは複数のワークロードがプロビジョニングされることを要求する、プロビジョニング要求440を、ワークロード・プロビジョニング部406に伝達することができる。例えば、プロビジョニング要求440は、ワークロードをプロビジョニングする選択された場所における1つまたは複数のハイパーバイザ422を示すことができる。 Location selector 404 can automatically select at least one location from the candidate locations to provision a workload to host data based on allowed location information 438 and location and capacity information 436. The selected location is a location that is determined to meet the data privacy policy requirements for hosting data based on location and capacity information 436 and has available capacity to run the workload. The location may be a location indicated in authorized location information 438 that has at least one system (eg, a data processing system and/or storage system) that has a 100% capacity and meets workload specifications 434 . The location selector 404 communicates a provisioning request 440 to the workload provisioner 406 that identifies the selected location and requests that one or more workloads be provisioned at the selected location. I can do it. For example, provisioning request 440 may indicate one or more hypervisors 422 at selected locations to provision the workload.

プロビジョニング要求440に応答して、ワークロード・プロビジョニング部406は、選択された場所における1つまたは複数のシステムにワークロードを自動的にプロビジョニングすることができる。例えば、ワークロード・プロビジョニング部406は、プロビジョニングされるワークロードに関連する情報をハイパーバイザ422に伝達することができる。これに応答して、ハイパーバイザ422は、データをホストするための1つまたは複数のワークロードを自動的に作成することができる。例えば、ハイパーバイザ422は、ワークロードのために1つまたは複数の仮想マシン(例えばゲスト・マシン)、またはマイクロサービス、またはコンテナ、あるいはこれらの組合せを作成することができる。ワークロード・プロビジョニング部406は、ワークロードに関連する場所およびデータ・プライバシー制限情報442を、例えばデータ・プライバシー制約データ414としてデータベースに記憶することもできる。データベースはプログラム/ユーティリティ355の内部に存在することができるが、必ずしもその必要はない。 In response to the provisioning request 440, the workload provisioning unit 406 can automatically provision the workload to one or more systems at the selected location. For example, workload provisioning unit 406 can communicate information related to the workload being provisioned to hypervisor 422. In response, hypervisor 422 may automatically create one or more workloads to host the data. For example, hypervisor 422 may create one or more virtual machines (eg, guest machines), microservices, and/or containers for the workload. Workload provisioning unit 406 may also store location and data privacy restriction information 442 associated with the workload, for example, as data privacy restriction data 414 in a database. The database can, but need not, reside within the program/utility 355.

ワークロードのプロビジョニングに加えて、プログラム/ユーティリティ355(例えばワークロード監視部410)は、ワークロードのライフサイクル中にワークロードが確実にデータ・プライバシー・ポリシーに従って維持されるように、ワークロードを監視することもできる。例示として、ワークロード450が、プロビジョニングされたワークロードに相当し得る。前述のように、ワークロード監視部410は、データ・プライバシー・アドバイザ・アプリケーション420からワークロード450のための許可場所情報438を受け取ることができ、データ・プライバシー・アドバイザ・アプリケーション420に対して許可場所情報438の更新を定期的に要求することができる。また、ワークロード監視部410は、場所選択部404またはデータ・プライバシー・アドバイザ・アプリケーション420あるいはその両方からデータ・プライバシー情報432を受け取ることができ、そのような情報の更新を定期的に要求することができる。 In addition to provisioning the workload, the program/utility 355 (e.g., workload monitor 410) monitors the workload to ensure that the workload is maintained according to data privacy policies during the workload's lifecycle. You can also. By way of example, workload 450 may correspond to a provisioned workload. As previously discussed, workload monitor 410 can receive authorized location information 438 for workload 450 from data privacy advisor application 420 and provide authorized location information 438 to data privacy advisor application 420. Updates to information 438 can be requested periodically. Workload monitor 410 may also receive data privacy information 432 from location selector 404 and/or data privacy advisor application 420 and periodically request updates of such information. I can do it.

ワークロード監視プロセス中、各ワークロード450について、ワークロード監視部410は、ワークロード450にデータ・プライバシーに関する問題があるか否かを判断することができる。例えば、ワークロード監視部410は、データ・プライバシー情報432で示されているかまたはデータ・プライバシー情報432に基づいてデータに適用可能なデータ・プライバシー・ポリシーに示されているか、あるいはその両方である所定の基準に従って、必要なデータ・プライバシー・ポリシーが順守されているか否かを判断することができる。 During the workload monitoring process, for each workload 450, the workload monitor 410 may determine whether the workload 450 has data privacy concerns. For example, the workload monitor 410 may implement a predetermined data privacy policy as indicated in the data privacy information 432 and/or as indicated in a data privacy policy applicable to the data based on the data privacy information 432. It is possible to determine whether the necessary data privacy policies are being complied with according to the following criteria.

例示として、ワークロード監視部410は、ワークロード450が別のワークロードによってアクセスされるか否かを判断し、アクセスされる場合は、データ・プライバシー情報432において、そのような他のワークロードが、ワークロード450によってホストされている特定のデータ(例えば機密データ)にアクセスすることを許可されているものとして示されているか否かを判断することもできる。当該他のワークロードが、ワークロード450によってホストされている特定のデータにアクセスすることを許可されていないとの判断に応答して、ワークロード監視部410は、当該他のワークロードがワークロード450によってホストされているその特定のデータにアクセスすることができる(has access to)か否かを判断することができる。ワークロード監視部410は、ワークロード450にアクセスするために実装されているプロトコルを調べること、ワークロード450に対するオープン・データ・ベース・コネクティビティ(ODBC)呼出しを特定すること、ワークロード450に対するクエリを特定すること、ワークロード450にアクセスするマーケティング手段を特定することなどによって、この判断を行うことができる。当該他のワークロードがワークロード450によってホストされているその特定のデータにアクセスすることができ、そのようなアクセスを行うことができることを許可されていない場合、ワークロード監視部410は、ワークロード450にデータ・プライバシーに関する問題があると判断することができる。 Illustratively, workload monitor 410 determines whether workload 450 is accessed by another workload, and if so, indicates in data privacy information 432 that such other workload , may also determine whether the workload 450 is indicated as being authorized to access certain data (eg, sensitive data) hosted by the workload 450 . In response to determining that the other workload is not authorized to access certain data hosted by the workload 450, the workload monitor 410 determines that the other workload is not authorized to access certain data hosted by the workload 450. It can be determined whether that particular data hosted by 450 has access to. Workload monitor 410 examines the protocols implemented to access workload 450 , identifies open database connectivity (ODBC) calls to workload 450 , and processes queries against workload 450 . This determination can be made by identifying, identifying marketing vehicles that access workload 450, and the like. If the other workload is able to access the particular data hosted by the workload 450 and is not authorized to do so, the workload monitor 410 It can be determined that 450 has data privacy issues.

当該他のワークロードによるその特定のデータへのアクセスに基づいてワークロード450にデータ・プライバシーに関する問題があるとの判断に応答して、ワークロード監視部410は、ワークロード450にアクセスすることができる当該他のワークロードを特定する情報、当該他のワークロードがワークロード450によってホストされているその特定のデータにアクセスした方式などを含む、ワークロード450に関する情報を記憶することができる。ワークロード監視部410は、この情報を適切なデータ・ストレージ、例えばプログラム/ユーティリティ355に存在するデータベースに記憶することができる。ワークロード監視部410は、さらに、ワークロード450が無許可のワークロードによってアクセスされたことを示す通知(例えばアラート、テキスト・メッセージ、Eメールなど)をシステムまたは法令順守管理者460に自動的に伝達するために、データ・プライバシー問題通知部412を起動することができ、その通知に当該他のワークロードに関する情報や、当該他のワークロードがワークロード450によってホストされているその特定のデータにアクセスした方式などを含めることができる。また、ワークロード監視部410は、ワークロード450をプロビジョニングする対象である新しい場所を選択するように場所選択部404に要求をリアル・タイムで伝達することができる。これに応答して、プログラム/ユーティリティ355が、上述のプロセスを実行して、ワークロード450がプロビジョニングされることができる新しい場所にワークロード450をリアル・タイムで自動的にプロビジョニングすることができる。 In response to determining that the workload 450 has a data privacy issue based on access to the particular data by the other workload, the workload monitor 410 may access the workload 450. Information about the workload 450 can be stored, including information identifying the other workloads that can be accessed, the manner in which the other workloads have accessed the particular data hosted by the workload 450, and the like. Workload monitor 410 may store this information in suitable data storage, such as a database residing in program/utility 355. Workload monitor 410 also automatically sends a notification (e.g., alert, text message, email, etc.) to system or compliance administrator 460 indicating that workload 450 has been accessed by an unauthorized workload. Data privacy issue notification 412 may be activated to communicate information about the other workload and the particular data hosted by workload 450 in the notification. It can include information such as the access method. Workload monitor 410 may also communicate a request in real time to location selector 404 to select a new location for which workload 450 is to be provisioned. In response, program/utility 355 can execute the processes described above to automatically provision workload 450 in real time to new locations where workload 450 can be provisioned.

また、ワークロード監視部410は、ワークロード450が許可された場所で継続してプロビジョニングされるか否かを判断することができる。例示として、ワークロード監視部410は、ワークロード450が、許可場所情報438で示されている許可された場所ではない場所に現在プロビジョニングされているか否かを判断することができる。例えば、ワークロード450は、その元の場所から移動されていることがあり、またはワークロード450がすでに配備された後で監視プロセスが開始されていることがある。ワークロード450がすでに配備された後で監視プロセスが開始された場合、ワークロード450のためにデータ・プライバシーおよびワークロード仕様入力情報430をデータ・インターフェース402が受け取ることができ、場所選択部404とデータ・プライバシー・アドバイザ・アプリケーション420とが前述のプロセスを実行して許可場所情報438を生成することができ、それをデータ・プライバシー・アドバイザ・アプリケーション420または場所選択部404がワークロード監視部410に伝達することができる。しかし、ワークロード450が許可場所情報438で示されている許可された場所ではない場所に現在プロビジョニングされているとの判断に応答して、ワークロード監視部410は、ワークロード450にデータ・プライバシーに関する問題があると判断することができる。 Additionally, the workload monitor 410 can determine whether the workload 450 continues to be provisioned at the authorized location. By way of example, workload monitor 410 may determine whether workload 450 is currently provisioned in a location that is not an authorized location as indicated by authorized location information 438. For example, workload 450 may have been moved from its original location, or the monitoring process may have been initiated after workload 450 was already deployed. If the monitoring process is initiated after workload 450 has already been deployed, data privacy and workload specification input information 430 for workload 450 may be received by data interface 402 and location selector 404 and Data privacy advisor application 420 may perform the above-described process to generate authorized location information 438, which data privacy advisor application 420 or location selector 404 may provide to workload monitor 410. can be transmitted. However, in response to determining that workload 450 is currently provisioned in a location that is not an authorized location as indicated by authorized location information 438, workload monitor 410 may issue a data privacy It can be determined that there is a problem.

ワークロード450が許可された場所でプロビジョニングされていないことに基づく、ワークロード450にデータ・プライバシーに関する問題があるとの判断に応答して、ワークロード監視部410は、ワークロード450がプロビジョニングされている場所を示す情報、データ・プライバシー情報432の違反を示す情報などを含む、ワークロード450に関する情報を記憶することができる。ワークロード監視部410は、この情報を適切なデータ・ストレージ、例えばプログラム/ユーティリティ355内にあるデータベースに記憶することができる。また、ワークロード監視部410は、ワークロード450がそのワークロードがプロビジョニングされることができる場所ではない場所にプロビジョニングされたことを示す通知(例えばアラート、テキスト・メッセージ、Eメールなど)をシステムまたは法令順守管理者460に自動的に伝達するために、データ・プライバシー問題通知部412を起動することができ、その通知に、ワークロード450がプロビジョニングされている場所を示す情報、データ・プライバシー情報432の違反を示す情報などを含めることができる。また、ワークロード監視部410は、ワークロード450がプロビジョニングされる新しい場所を選択する要求を場所選択部404にリアル・タイムで伝達することができる。これに応答して、プログラム/ユーティリティ355が上述のプロセスを実行して、ワークロード450がプロビジョニングされることができる新しい場所にワークロード450をリアル・タイムでプロビジョニングすることができる。 In response to determining that workload 450 has a data privacy issue based on workload 450 not being provisioned in an authorized location, workload monitor 410 determines whether workload 450 is provisioned in an authorized location. Information about the workload 450 may be stored, including information indicating where the workload is, information indicating violations of data privacy information 432, and the like. Workload monitor 410 may store this information in suitable data storage, such as a database within program/utility 355. Workload monitor 410 may also send notifications (e.g., alerts, text messages, emails, etc.) to the system or system indicating that workload 450 has been provisioned in a location that is not where the workload could be provisioned. A data privacy issue notification 412 can be activated to automatically communicate to a compliance administrator 460, which notification includes information indicating where the workload 450 is provisioned, data privacy information 432; This may include information indicating a violation of the law. Workload monitor 410 can also communicate in real time a request to select a new location where workload 450 is to be provisioned to location selector 404 . In response, program/utility 355 may execute the processes described above to provision workload 450 in real time to a new location where workload 450 can be provisioned.

図5は、データ・プライバシー・アウェアネスおよび保護を提供する方法500の一例を示すフローチャートである。ステップ502で、プログラム/ユーティリティ355が、ワークロードによってホストされることになる特定のデータに関連するデータ・プライバシー情報を受け取ることができる。プログラム/ユーティリティ355は、そのワークロードのワークロード仕様を受け取ることもできる。 FIG. 5 is a flowchart illustrating an example method 500 of providing data privacy awareness and protection. At step 502, program/utility 355 may receive data privacy information related to particular data to be hosted by the workload. Program/utility 355 may also receive a workload specification for the workload.

ステップ504で、プログラム/ユーティリティ355は、ワークロードをプロビジョニングするために利用可能な容量を特定することができる。例えば、プログラム/ユーティリティ355は、利用可能な容量を有するシステム上で稼働し、ワークロード仕様を満たす、ハイパーバイザを特定することができる。ステップ506で、プログラム/ユーティリティ355は、利用可能な容量の場所を判断することができる。例えば、プログラム/ユーティリティ355は、利用可能な容量を有するシステム上で稼働し、ワークロード仕様を満たすハイパーバイザの場所を特定することができる。 At step 504, program/utility 355 may identify available capacity for provisioning the workload. For example, program/utility 355 may identify a hypervisor that runs on the system that has available capacity and meets workload specifications. At step 506, program/utility 355 may determine the location of available capacity. For example, the program/utility 355 can locate a hypervisor that runs on the system that has available capacity and meets workload specifications.

ステップ508で、プログラム/ユーティリティ355は、ワークロードのプロビジョニングのために許可された場所を特定することができる。例えば、プログラム/ユーティリティ355は、データ・プライバシー・アドバイザ・アプリケーション420とインターフェースして、ワークロードのプロビジョニングのために許可された場所を候補場所として特定することができる。ステップ510で、プログラム/ユーティリティ355は、利用可能な容量を有する特定された場所のうちの1つまたは複数の場所にワークロードをプロビジョニングすることができる。例えば、プログラム/ユーティリティ355は、候補場所のうちのいずれの場所が、ワークロードをプロビジョニングするために利用可能な容量を有するとともにワークロード仕様を満たす場所であるか否かを判断することができ、それらの場所のうちの1つまたは複数の場所を選択することができる。 At step 508, program/utility 355 may identify authorized locations for workload provisioning. For example, program/utility 355 can interface with data privacy advisor application 420 to identify authorized locations as candidate locations for workload provisioning. At step 510, the program/utility 355 may provision the workload to one or more of the identified locations that have available capacity. For example, the program/utility 355 can determine whether any of the candidate locations have available capacity for provisioning the workload and meet workload specifications; One or more of those locations may be selected.

ステップ512で、プログラム/ユーティリティ355は、場所、データ・プライバシーおよびワークロード情報を記憶することができる。例えば、プログラム/ユーティリティ355は、このような情報をデータ・プライバシー制約データとして記憶することができる。ステップ514で、プログラム/ユーティリティ355は、ワークロードにデータ・プライバシーに関する問題があるか否かを判断するためにワークロードを監視することができる。 At step 512, program/utility 355 may store location, data privacy, and workload information. For example, program/utility 355 may store such information as data privacy constraint data. At step 514, program/utility 355 may monitor the workload to determine if the workload has data privacy concerns.

図6は、ワークロードにデータ・プライバシーに関する問題があるか否かを判断するためにワークロードを監視する方法600の一例を示すフローチャートである。ステップ602で、プログラム/ユーティリティ355は、ワークロードが別のワークロードによってアクセスされるか否かを判断することができる。ステップ604で、ワークロードが他のワークロードによってアクセスされるとの判断に応答して、プログラム/ユーティリティ355は、データ・プライバシー情報において、当該他のワークロードが、ワークロードによってホストされている特定のデータにアクセスすることを許可されているものとして示されているか否かを判断することができる。ステップ606で、当該他のワークロードが、ワークロードによってホストされている特定のデータにアクセスすることを許可されているものとして示されていないとの判断に応答して、プログラム/ユーティリティ355は、当該他のワークロードがワークロードによってホストされているその特定のデータにアクセスすることができるか否かを判断することができる。ステップ608で、当該他のワークロードがワークロードによってホストされているその特定のデータにアクセスすることができるとの判断に応答して、プログラム/ユーティリティ355は、ワークロードにデータ・プライバシーに関する問題があると判断することができる。 FIG. 6 is a flowchart illustrating an example method 600 of monitoring a workload to determine whether the workload has data privacy concerns. At step 602, program/utility 355 may determine whether the workload is accessed by another workload. At step 604, in response to determining that the workload will be accessed by other workloads, the program/utility 355 identifies in data privacy information that the other workload is being accessed by the workload. It can be determined whether the user is indicated as authorized to access the data of the user. At step 606, in response to determining that the other workload is not indicated as being authorized to access particular data hosted by the workload, the program/utility 355: It can be determined whether the other workload can access the particular data hosted by the workload. At step 608, in response to determining that the other workload has access to the particular data hosted by the workload, the program/utility 355 determines that the workload has data privacy concerns. It can be determined that there is.

図7は、ワークロードにデータ・プライバシーに関する問題があるか否かを判断するためにワークロードを監視する方法700の別の例を示すフローチャートである。 FIG. 7 is a flowchart illustrating another example method 700 of monitoring a workload to determine whether the workload has data privacy concerns.

ステップ702で、プログラム/ユーティリティ355は、データ・プライバシー情報に基づいて、ワークロードがプロビジョニングされている場所が、ワークロードがプロビジョニングされることができる場所であるか否かを判断することができる。ステップ704で、ワークロードがプロビジョニングされている場所が、ワークロードがプロビジョニングされることができない場所であるとの判断に応答して、プログラム/ユーティリティ355は、ワークロードにデータ・プライバシーに関する問題があると判断することができる。 At step 702, the program/utility 355 may determine, based on the data privacy information, whether the location where the workload is being provisioned is a location where the workload can be provisioned. At step 704, in response to determining that the location where the workload is being provisioned is a location where the workload cannot be provisioned, the program/utility 355 determines that the workload has data privacy concerns. It can be determined that

図5に戻り、次に決定ボックス516を参照する。決定ボックス516で、ワークロードにデータ・プライバシーに関する問題が特定されない場合、プロセスはステップ514に戻ることができ、プログラム/ユーティリティ355は、ワークロードにデータ・プライバシーに関する問題があるか否かを判断するためにワークロードの監視を続けることができる。しかし、データ・プライバシーに関する問題が特定された場合、ステップ518でプログラム/ユーティリティ355は、例えば前述のようにその問題に関連する情報を記憶することができる。ステップ520で、プログラム/ユーティリティ355は、例えば前述のように、問題通知をリアル・タイムで自動的に生成し、伝達することができる。ステップ522で、プログラム/ユーティリティ355は、例えば前述のように、ワークロードを新しい場所にリアル・タイムで自動的にプロビジョニングすることができる。 Returning to FIG. 5, reference is now made to decision box 516. If, at decision box 516, no data privacy concerns are identified for the workload, the process may return to step 514, where the program/utility 355 determines whether the workload has data privacy concerns. You can continue to monitor your workload. However, if a data privacy issue is identified, then at step 518 the program/utility 355 may store information related to that issue, such as as described above. At step 520, program/utility 355 can automatically generate and communicate problem notifications in real time, such as as described above. At step 522, program/utility 355 may automatically provision the workload to a new location in real time, such as described above.

本開示は、新規な機能を定義する特許請求の範囲で終わるが、本明細書に記載の様々な特徴は、本説明を図面とともに検討すればよりよく理解されると考えられる。本開示に記載されているプロセス、マシン、製造物、およびこれらの任意の変形は、例示を目的として示すものである。記載されているいずれの具体的な構造および機能の詳細も限定するものものと解釈すべきではなく、単に、特許請求の範囲の基礎として、および、当業者に実質的に任意の適切な詳細構造で記載されている特徴を様々に採用することを教示するための代表的な基礎として解釈すべきである。また、本開示で使用されている用語および語句は、限定することを意図しておらず、むしろ記載されている特徴を理解できるように説明することを意図したものである。 While the disclosure concludes with the claims defining novel features, the various features described herein will be better understood when the description is considered in conjunction with the drawings. The processes, machines, articles of manufacture, and any variations thereof described in this disclosure are presented for purposes of illustration. Any specific structural and functional details described should not be construed as limiting, but only as a basis for the claims and for those skilled in the art to utilize virtually any suitable structural details. should be construed as a representative basis for teaching various adaptations of the features described in . Additionally, the terms and phrases used in this disclosure are not intended to be limiting, but rather to provide an understanding of the features described.

図を簡単にし、明確にするために、図面に示す要素は必ずしも一律の縮尺で描かれていない。例えば、明確にするために、要素のうちの一部の要素の寸法が他の要素に対して相対的に誇張されている場合がある。また、適切と考えられる場合には、対応するか、類似しているか、または同様の特徴を示すために、参照番号が図面間で繰り返し使用されている。 For simplicity and clarity, the elements shown in the drawings are not necessarily drawn to scale. For example, the dimensions of some of the elements may be exaggerated relative to other elements for clarity. Also, where considered appropriate, reference numbers are repeated between the drawings to indicate corresponding, similar, or similar features.

本発明は、システム、方法またはコンピュータ・プログラム製品あるいはこれらの組合せとすることができる。コンピュータ・プログラム製品は、プロセッサに本発明の態様を実施させるためのコンピュータ可読プログラム命令が記憶されたコンピュータ可読記憶媒体(または複数の媒体)を含み得る。 The invention may be a system, method, or computer program product, or a combination thereof. A computer program product may include a computer readable storage medium (or media) having computer readable program instructions stored thereon for causing a processor to implement aspects of the invention.

コンピュータ可読記憶媒体は、命令実行デバイスによって使用される命令を保持し、記憶することができる有形デバイスとすることができる。コンピュータ可読記憶媒体は、例えば、電子ストレージ・デバイス、磁気ストレージ・デバイス、光学式ストレージ・デバイス、電磁ストレージ・デバイス、半導体ストレージ・デバイス、またはこれらの任意の適合する組合せであってよいが、これらには限定されない。コンピュータ可読記憶媒体のより具体的な例の非網羅的なリストには以下のものが含まれる。すなわち、可搬コンピュータ・ディスケット、ハードディスク、ランダム・アクセス・メモリ(RAM)、読み取り専用メモリ(ROM)、消去可能プログラマブル読み取り専用メモリ(EPROMまたはフラッシュ・メモリ)、スタティック・ランダム・アクセス・メモリ(SRAM)、可搬コンパクト・ディスク読み取り専用メモリ(CD-ROM)、デジタル多用途ディスク(DVD)、メモリ・スティック、フロッピィ(登録商標)ディスク、パンチカードまたは命令が記録された溝内の***構造などの機械的に符号化されたデバイス、およびこれらの任意の適合する組合せが含まれる。本明細書で使用されるコンピュータ可読記憶媒体とは、電波もしくはその他の自由に伝播する電磁波、導波路もしくはその他の伝送媒体を伝播する電磁波(例えば光ファイバ・ケーブルを通る光パルス)、または電線を介して伝送される電気信号などの、一過性の信号自体であると解釈すべきではない。 A computer-readable storage medium may be a tangible device that can retain and store instructions for use by an instruction execution device. The computer-readable storage medium may be, for example, an electronic storage device, a magnetic storage device, an optical storage device, an electromagnetic storage device, a semiconductor storage device, or any suitable combination thereof. is not limited. A non-exhaustive list of more specific examples of computer-readable storage media includes: i.e., portable computer diskettes, hard disks, random access memory (RAM), read only memory (ROM), erasable programmable read only memory (EPROM or flash memory), static random access memory (SRAM) , portable compact disk read-only memory (CD-ROM), digital versatile disk (DVD), memory stick, floppy disk, punched card, or a raised structure in a groove in which instructions are recorded. encoded devices, and any compatible combinations thereof. As used herein, computer-readable storage medium refers to radio waves or other freely propagating electromagnetic waves, electromagnetic waves propagating in waveguides or other transmission media (e.g., pulses of light through a fiber optic cable), or electrical wires. should not be construed as being a transient signal per se, such as an electrical signal transmitted over a network.

本明細書に記載のコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体からそれぞれのコンピューティング/処理デバイスに、あるいは、ネットワーク、例えばインターネット、ローカル・エリア・ネットワーク、ワイド・エリア・ネットワーク、もしくは無線ネットワークまたはこれらの組合せを介して外部コンピュータまたは外部ストレージ・デバイスにダウンロードすることができる。ネットワークは、銅伝送ケーブル、光伝送ファイバ、無線伝送、ルータ、ファイアウォール、交換機、ゲートウェイ・コンピュータ、またはエッジ・サーバあるいはこれらの組合せを含み得る。各コンピューティング/処理デバイスにおけるネットワーク・アダプタ・カードまたはネットワーク・インターフェースが、ネットワークからコンピュータ可読プログラム命令を受信し、それらのコンピュータ可読プログラム命令を、それぞれのコンピューティング/処理デバイス内のコンピュータ可読記憶媒体への記憶のために転送する。 The computer readable program instructions described herein may be transferred from a computer readable storage medium to a respective computing/processing device or over a network, such as the Internet, a local area network, a wide area network, or a wireless network. can be downloaded to an external computer or external storage device via a combination of The network may include copper transmission cables, optical transmission fibers, wireless transmissions, routers, firewalls, switches, gateway computers, and/or edge servers. A network adapter card or network interface in each computing/processing device receives computer readable program instructions from the network and transfers the computer readable program instructions to a computer readable storage medium in the respective computing/processing device. Transfer for memory.

本発明の操作を実行するためのコンピュータ可読プログラム命令は、アセンブラ命令、インストラクション・セット・アーキテクチャ(ISA)命令、マシン命令、マシン依存命令、マイクロコード、ファームウェア命令、状態設定データ、あるいは、Smalltalk(登録商標)、C++などのオブジェクト指向プログラミング言語、および「C」プログラミング言語、もしくは同様のプログラム言語などの従来の手続き型プログラミング言語を含む、1つもしくは複数のプログラミング言語の任意の組合せで書かれたソース・コードまたはオブジェクト・コードとすることができる。コンピュータ可読プログラム命令は、スタンドアロン・ソフトウェア・パッケージとして全体がユーザのコンピュータ上でもしくは一部がユーザのコンピュータ上で、または一部がユーザのコンピュータ上で一部がリモート・コンピュータ上で、または全体がリモート・コンピュータもしくはサーバ上で実行されてもよい。後者の場合、リモート・コンピュータは、ローカル・エリア・ネットワーク(LAN)またはワイド・エリア・ネットワーク(WAN)を含む、任意の種類のネットワークを介してユーザのコンピュータに接続することができ、または接続は(例えば、インターネット・サービス・プロバイダを使用してインターネットを介して)外部コンピュータに対して行ってもよい。いくつかの実施形態によっては、本発明の態様を実行するために、例えばプログラマブル・ロジック回路、フィールド・プログラマブル・ゲート・アレイ(FPGA)、またはプログラマブル・ロジック・アレイ(PLA)を含む電子回路が、コンピュータ可読プログラム命令の状態情報を使用して電子回路をパーソナライズすることにより、コンピュータ可読プログラム命令を実行することができる。 Computer-readable program instructions for carrying out the operations of the present invention may include assembler instructions, instruction set architecture (ISA) instructions, machine instructions, machine-dependent instructions, microcode, firmware instructions, state configuration data, or Smalltalk (registered trademark). Source written in any combination of one or more programming languages, including object-oriented programming languages such as C++, C++, and traditional procedural programming languages such as the "C" programming language or similar programming languages; - Can be code or object code. The computer-readable program instructions may be provided as a stand-alone software package wholly or partially on a user's computer, or partially on a user's computer and partially on a remote computer, or entirely on a user's computer. It may also be executed on a remote computer or server. In the latter case, the remote computer can connect to the user's computer over any type of network, including a local area network (LAN) or wide area network (WAN), or the connection is It may also be to an external computer (eg, via the Internet using an Internet service provider). In some embodiments, an electronic circuit, including, for example, a programmable logic circuit, a field programmable gate array (FPGA), or a programmable logic array (PLA), is used to carry out aspects of the invention. The computer readable program instructions can be executed by personalizing the electronic circuit using the state information of the computer readable program instructions.

本発明の態様について、本発明の実施形態による方法、装置(システム)、およびコンピュータ・プログラム製品を示すフローチャート図またはブロック図あるいはその両方を参照しながら本明細書において説明している。フローチャート図またはブロック図あるいはその両方の図の各ブロックおよび、フローチャート図またはブロック図あるいはその両方の図のブロックの組合せは、コンピュータ可読プログラム命令によって実装可能であることはわかるであろう。 Aspects of the invention are described herein with reference to flowchart illustrations and/or block diagrams that illustrate methods, apparatus (systems), and computer program products according to embodiments of the invention. It will be appreciated that each block of the flowchart illustrations and/or block diagrams, and combinations of blocks in the flowchart illustrations and/or block diagrams, can be implemented by computer-readable program instructions.

これらのコンピュータ可読プログラム命令は、コンピュータまたはその他のプログラマブル・データ処理装置のプロセッサにより実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで規定されている機能/動作を実装する手段を形成するようなマシンを実現するように、汎用コンピュータ、専用コンピュータ、またはその他のプログラマブル・データ処理装置のプロセッサに供給することができる。これらのコンピュータ可読プログラム命令は、命令が記憶されたコンピュータ可読記憶媒体が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで規定されている機能/動作の態様を実装する命令を含む製造品を含むように、コンピュータ、プログラマブル・データ処理装置、またはその他の装置あるいはこれらの組合せに対して特定の方式で機能するように指示することができるコンピュータ可読記憶媒体に記憶することもできる。 These computer-readable program instructions indicate that instructions executed by a processor of a computer or other programmable data processing device implement the functions/acts set forth in one or more blocks of flowcharts and/or block diagrams. A processor of a general purpose computer, special purpose computer, or other programmable data processing device may be provided to implement such a machine forming a means for doing so. These computer-readable program instructions may be manufactured such that a computer-readable storage medium on which the instructions are stored includes instructions for implementing aspects of the functions/operations set forth in one or more blocks of flowcharts and/or block diagrams. The information may also be stored on a computer-readable storage medium that can instruct a computer, programmable data processing device, or other device, or combination thereof, to function in a particular manner.

コンピュータ可読プログラム命令は、コンピュータ、その他のプログラマブル・データ処理装置、またはその他のデバイスにロードされて、コンピュータ、その他のプログラマブル装置またはその他のデバイス上で実行される命令がフローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで規定されている機能/動作を実装するように、コンピュータ、その他のプログラマブル装置、またはその他のデバイス上で一連の操作ステップが実行されてコンピュータ実装プロセスを実現するようにすることもできる。 Computer-readable program instructions may be loaded into a computer, other programmable data processing apparatus, or other device so that the instructions for execution on the computer, other programmable apparatus, or other device are illustrated in flowchart and/or block diagrams. A sequence of operational steps is performed on a computer, other programmable apparatus, or other device so as to implement the functionality/operations specified in one or more blocks to effectuate a computer-implemented process. You can also do that.

図面中のフローチャートおよびブロック図は、本発明の様々な実施形態によるシステム、方法およびコンピュータ・プログラム製品の可能な実装形態のアーキテクチャ、機能および操作を示す。この場合、フローチャートまたはブロック図の各ブロックは、指定されている論理機能を実装するための1つまたは複数の実行可能命令を含む、命令のモジュール、セグメント、または部分を表すことがある。別の一部の実装形態では、ブロックに記載されている機能は、図に記載されている順序とは異なる順序で行われてもよい。例えば、連続して示されている2つのブロックは、関与する機能に応じて、実際には実質的に並行して実行されてよく、またはそれらのブロックは場合によっては逆の順序で実行されてもよい。また、ブロック図またはフローチャート図あるいはその両方の図の各ブロック、およびブロック図またはフローチャート図あるいはその両方の図のブロックの組合せは、規定されている機能または動作を実行するかまたは専用ハードウェアとコンピュータ命令との組合せを実施する、専用ハードウェア・ベースのシステムによって実装可能であることも留意されよう。 Flowcharts and block diagrams in the drawings illustrate the architecture, functionality, and operation of possible implementations of systems, methods, and computer program products according to various embodiments of the invention. In this case, each block in the flowchart or block diagrams may represent a module, segment, or portion of instructions that includes one or more executable instructions for implementing the specified logical function. In some other implementations, the functions noted in the blocks may occur out of the order noted in the figures. For example, two blocks shown in succession may actually be executed substantially in parallel, or the blocks may sometimes be executed in reverse order, depending on the functionality involved. Good too. Additionally, each block in the block diagrams and/or flowchart diagrams, and combinations of blocks in the block diagrams and/or flowchart diagrams, may be designed to perform the functions or operations specified or to implement specialized hardware and/or computers. It is also noted that the combination of instructions can be implemented by a dedicated hardware-based system.

本明細書で使用されている用語は、特定の実施形態について説明することのみを目的としており、本発明を限定することを意図していない。本明細書で使用されている単数形の「a」、「an」および「the」は、文脈が明確に別の解釈を示していない限り複数形も含むことが意図されている。また、「含んでいる(includes)」、「含む(including)」、「含んでいる(comprises)」、または「含む(comprising)」という用語あるいはこれらの組合せは、本開示で使用されている場合、記載されている特徴、整数、ステップ、操作、要素、またはコンポーネントあるいはこれらの組合せを指定するが、1つまたは複数の他の特徴、整数、ステップ、操作、要素、コンポーネントあるいはこれらの組合せの存在または追加を排除しないことがさらにわかるであろう。 The terminology used herein is for the purpose of describing particular embodiments only and is not intended to limit the invention. As used herein, the singular forms "a," "an," and "the" are intended to include the plural forms unless the context clearly dictates otherwise. Also, when the terms "includes," "including," "comprises," or "comprising" or combinations thereof are used in this disclosure, , specifies the described feature, integer, step, operation, element, or component, or combination thereof, but excludes the presence of one or more other features, integers, steps, operations, elements, components, or combinations thereof. It will further be appreciated that this does not exclude additions.

本開示全体を通して、「一実施形態」、「ある実施形態」、「一構成」、「ある構成」、「一態様」、「ある態様」または同様の表現の言及がある場合、その実施形態に関連して記載されている特定の特徴、構造または特性が、本開示で記載されている少なくとも1つの実施形態に含まれることを意味する。したがって、本開示全体を通して「一実施形態」、「ある実施形態」、「一構成」、「ある構成」、「一態様」、「ある態様」という語句または同様の表現の記載は、すべて同じ実施形態を指す場合があるが、必ずしもそうであるとは限らない。 Throughout this disclosure, references to "an embodiment," "an embodiment," "an arrangement," "a configuration," "an aspect," "an aspect," or similar expressions refer to that embodiment. A particular feature, structure or characteristic described in association is meant to be included in at least one embodiment described in this disclosure. Therefore, throughout this disclosure, all references to the phrases "one embodiment," "an embodiment," "a configuration," "a configuration," "an aspect," "an aspect," or similar expressions refer to the same implementation. It may refer to the form, but this is not necessarily the case.

本明細書で使用されている「複数の」という用語は、2つ以上であるものと定義される。本明細書で使用されている「別の」という用語は、少なくとも第2またはそれ以上のものであると定義される。本明細書で使用されている「結合されている」という用語は、他の指示がない限り、介在要素のない直接的な接続であるか、または1つもしくは複数の介在要素による間接的な接続であるかを問わず、接続されているものと定義される。また、2つの要素は、機械的に、電気的に結合されることができ、または通信チャネル、経路、ネットワークもしくはシステムを介して通信可能に連結されていてもよい。本明細書で使用されている「...または...あるいはその両方(組合せ)」という用語は、関連する列挙項目のうちの1つまたは複数の項目の任意のあらゆる可能な組合せを指し、包含する。また、本明細書では様々な要素を説明するために第1、第2などの用語が使用されている場合があるが、特に明記されていない限り、または文脈が別の解釈を示していない限り、これらの用語は1つの要素を別の要素から区別するためにのみ使用されているため、これらの要素はこれらの用語によって限定されるべきではないことはわかるであろう。 As used herein, the term "plurality" is defined as two or more. The term "another" as used herein is defined as at least a second or more. As used herein, the term "coupled", unless indicated otherwise, refers to a direct connection without any intervening elements or an indirect connection through one or more intervening elements. is defined as connected, regardless of whether it is connected. Also, the two elements can be mechanically, electrically coupled, or communicatively coupled via a communication channel, path, network, or system. As used herein, the term "...and/or" refers to any and all possible combinations of one or more of the associated listed items; include. Additionally, terms such as first, second, etc. may be used herein to describe various elements, unless the context clearly dictates otherwise. It will be appreciated that these elements are not to be limited by these terms, as these terms are only used to distinguish one element from another.

「場合」という用語は、文脈に応じて、「...であるとき」、または「...時」、または「...との判断に応答して」、または「...の検出に応答して」を意味するものと解釈され得る。同様に、「...と判断された場合」または「[記載の条件またはイベント]が検出された場合」という語句は、文脈に応じて、「...との判断時」または「...との判断に応答して」または「[記載の条件またはイベント]の検出時」または「[記載の条件またはイベント]の検出に応答して」を意味するものと解釈され得る。 Depending on the context, the term "if" can mean "when..." or "when..." or "in response to a determination that..." or "the detection of..." may be interpreted to mean ``in response to''. Similarly, the phrases "when it is determined that..." or "when [the stated condition or event] is detected" may be used as "when it is determined that..." or "..." depending on the context. may be interpreted to mean "in response to the determination that [the stated condition or event] is detected" or "in response to the detection of [the stated condition or event]".

本発明の様々な実施形態の説明を例示のために示したが、これらは網羅的であること、または開示されている実施形態に限定することを意図したものではない。記載されている実施形態の範囲から逸脱することなく、多くの修正および変形が当業者には明かであろう。本明細書で使用されている用語は、実施形態の原理、市場に見られる技術の実際の適用、もしくはそれに優る技術的改良を最もよく説明するために、または当業者が本明細書で開示されている実施形態を理解することができるように選定された。 The descriptions of various embodiments of the invention have been presented for purposes of illustration and are not intended to be exhaustive or limited to the disclosed embodiments. Many modifications and variations will be apparent to those skilled in the art without departing from the scope of the described embodiments. The terminology is used herein to best describe the principles of the embodiments, the practical application of the technology found in the market, or technical improvements thereto, or to those skilled in the art to understand the principles of the embodiments disclosed herein. The examples have been chosen to provide an understanding of the embodiments described.

Claims (15)

第1の場所にプロビジョニングされた第1のワークロードによってホストされている特定のデータに関連するデータ・プライバシー情報を受け取ることと、
前記第1のワークロードを監視することとを含み、前記第1のワークロードを前記監視することは、
前記第1のワークロードが第2のワークロードによってアクセスされるか否かを判断することと、
前記第1のワークロードが前記第2のワークロードによってアクセスされるとの判断に応答して、前記データ・プライバシー情報において、前記第1のワークロードによってホストされている前記特定のデータに前記第2のワークロードがアクセスすることが許可されているものとして示されているか否かを判断することと、
前記第1のワークロードによってホストされている前記特定のデータに前記第2のワークロードがアクセスすることを許可されているものとして示されていないとの判断に応答して、前記第1のワークロードによってホストされている前記特定のデータに前記第2のワークロードがアクセスすることができるか否かを判断することと、
前記第1のワークロードによってホストされている前記特定のデータに前記第2のワークロードがアクセスすることができるとの判断に応答して、プロセッサを使用して、前記データ・プライバシー情報に基づいて、前記第1のワークロードのプロビジョニングが可能な第2の場所に前記第1のワークロードを自動的にプロビジョニングすることとを含む方法。 receiving data privacy information related to particular data hosted by a first workload provisioned at a first location;
monitoring the first workload, the monitoring the first workload comprising:
determining whether the first workload is accessed by a second workload;
In response to determining that the first workload is accessed by the second workload, in the data privacy information, the specific data hosted by the first workload is accessed by the second workload. determining whether the workload of No. 2 is indicated as authorized to access;
the first workload in response to determining that the second workload is not indicated as authorized to access the particular data hosted by the first workload; determining whether the second workload can access the particular data hosted by the second workload;
in response to determining that the second workload can access the particular data hosted by the first workload, using the processor to: , automatically provisioning the first workload at a second location where the first workload can be provisioned. 前記第1のワークロードによってホストされている前記特定のデータに前記第2のワークロードがアクセスすることができるとの判断に応答して、前記第2のワークロードを特定する情報と、前記第1のワークロードによってホストされている前記特定のデータに前記第2のワークロードがアクセスした方式とを記憶することをさらに含む、請求項1に記載の方法。 information identifying the second workload in response to determining that the second workload can access the particular data hosted by the first workload; 2. The method of claim 1, further comprising: storing the manner in which the second workload accessed the particular data hosted by one workload. 前記第1のワークロードによってホストされている前記データに前記第2のワークロードがアクセスすることができるとの判断に応答して、前記第1のワークロードが無許可のワークロードによってアクセスされたことを示す通知をシステムまたは法令順守管理者に自動的に伝達することをさらに含み、前記通知は前記第2のワークロードを特定する情報と、前記第1のワークロードによってホストされている前記特定のデータに前記第2のワークロードがアクセスした方式とを含む、請求項1に記載の方法。 in response to determining that the second workload can access the data hosted by the first workload, the first workload being accessed by an unauthorized workload; further comprising automatically communicating a notification to a system or compliance administrator indicating that the second workload is hosted by the first workload; and a manner in which the second workload accessed the particular data. 前記第1のワークロードを前記監視することは、
前記データ・プライバシー情報に基づいて、前記第1の場所が前記ワークロードがプロビジョニングされることができる場所であるか否かを判断することをさらに含み、
前記第1のワークロードのプロビジョニングが可能な前記第2の場所に前記第1のワークロードを前記自動的にプロビジョニングすることは、前記第1の場所が前記ワークロードがプロビジョニングされることができる場所ではないとの判断にさらに応答する、請求項1に記載の方法。 The monitoring of the first workload comprises:
further comprising determining whether the first location is a location where the workload can be provisioned based on the data privacy information;
The automatically provisioning the first workload to the second location where the first workload can be provisioned includes: the first location being a location where the workload can be provisioned; 2. The method of claim 1, further responsive to a determination that the method is not. 前記第1のワークロードが、前記ワークロードがプロビジョニングされることができる場所ではない場所にプロビジョニングされていることを示す通知を、システムまたは法令順守管理者に自動的に伝達することをさらに含む、請求項4に記載の方法。 further comprising automatically communicating a notification to a system or compliance administrator that the first workload is provisioned in a location that is not a location where the workload could be provisioned; The method according to claim 4. 前記第1のワークロードについてのワークロード仕様を受け取ることであって、前記ワークロードについての前記ワークロード仕様は、前記ワークロードがプロビジョニングされ得るシステムの資源要件を指定する、前記第1のワークロードの前記ワークロード仕様を受け取ることと、
前記第2の場所が前記ワークロードについての前記ワークロード仕様を満たすのに適合する少なくとも1つのシステムを有すると判断することとをさらに含み、
前記第1のワークロードを前記第2の場所に前記自動的にプロビジョニングすることは、前記第2の場所が前記ワークロードについての前記ワークロード仕様を満たすのに適合する前記少なくとも1つのシステムを有するとの判断にさらに応答する、請求項1に記載の方法。 receiving a workload specification for the first workload, the workload specification for the workload specifying resource requirements of a system on which the workload may be provisioned; receiving said workload specification of;
further comprising determining that the second location has at least one system compatible with meeting the workload specification for the workload;
The automatically provisioning the first workload to the second location comprises: the second location having the at least one system adapted to meet the workload specification for the workload. 2. The method of claim 1, further responsive to a determination that: 前記特定のデータに関連する前記データ・プライバシー情報をデータ・プライバシー・アドバイザ・アプリケーションに伝達することと、
前記特定のデータに関連する前記データ・プライバシー情報を前記データ・プライバシー・アドバイザ・アプリケーションに前記伝達することに応答して、前記データ・プライバシー・アドバイザ・アプリケーションから許可場所情報を受け取り、前記許可場所情報で示されている場所を候補場所として特定することと、
前記候補場所から前記第2の場所を選択することとをさらに含む、請求項1に記載の方法。 communicating the data privacy information related to the particular data to a data privacy advisor application;
In response to said communicating said data privacy information related to said particular data to said data privacy advisor application, receiving authorized location information from said data privacy advisor application; Identifying the location indicated by as a candidate location,
2. The method of claim 1, further comprising selecting the second location from the candidate locations. 実行可能操作を開始するようにプログラムされたプロセッサを含むシステムであって、
前記実行可能操作は、
第1の場所にプロビジョニングされた第1のワークロードによってホストされている特定のデータに関連するデータ・プライバシー情報を受け取ることと、
前記第1のワークロードを監視することとを含み、前記第1のワークロードを前記監視することは、
前記第1のワークロードが第2のワークロードによってアクセスされるか否かを判断することと、
前記第1のワークロードが前記第2のワークロードによってアクセスされるとの判断に応答して、前記データ・プライバシー情報において、前記第1のワークロードによってホストされている前記特定のデータに前記第2のワークロードがアクセスすることが許可されているものとして示されているか否かを判断することと、
前記第1のワークロードによってホストされている前記特定のデータに前記第2のワークロードがアクセスすることを許可されているものとして示されていないとの判断に応答して、前記第1のワークロードによってホストされている前記特定のデータに前記第2のワークロードがアクセスすることができるか否かを判断することと、
前記第1のワークロードによってホストされている前記特定のデータに前記第2のワークロードがアクセスすることができるとの判断に応答して、前記データ・プライバシー情報に基づいて、前記第1のワークロードのプロビジョニングが可能な第2の場所に前記第1のワークロードを自動的にプロビジョニングすることとを含むシステム。 A system including a processor programmed to initiate an executable operation, the system comprising:
The executable operation is
receiving data privacy information related to particular data hosted by a first workload provisioned at a first location;
monitoring the first workload, the monitoring the first workload comprising:
determining whether the first workload is accessed by a second workload;
In response to determining that the first workload is accessed by the second workload, in the data privacy information, the specific data hosted by the first workload is accessed by the second workload. determining whether the workload of No. 2 is indicated as authorized to access;
the first workload in response to determining that the second workload is not indicated as authorized to access the particular data hosted by the first workload; determining whether the second workload can access the particular data hosted by the second workload;
the first workload based on the data privacy information in response to determining that the second workload can access the particular data hosted by the first workload; automatically provisioning the first workload to a second location where the load can be provisioned. 前記実行可能操作は、
前記第1のワークロードによってホストされている前記特定のデータに前記第2のワークロードがアクセスすることができるとの判断に応答して、前記第2のワークロードを特定する情報と、前記第1のワークロードによってホストされている前記特定のデータに前記第2のワークロードがアクセスした方式とを記憶することをさらに含む、請求項8に記載のシステム。 The executable operation is
information identifying the second workload in response to determining that the second workload can access the particular data hosted by the first workload; 9. The system of claim 8, further comprising: storing the manner in which the second workload accessed the particular data hosted by one workload. 前記実行可能操作は、
前記第1のワークロードによってホストされている前記データに前記第2のワークロードがアクセスすることができるとの判断に応答して、前記第1のワークロードが無許可のワークロードによってアクセスされたことを示す通知をシステムまたは法令順守管理者に自動的に伝達することをさらに含み、前記通知は前記第2のワークロードを特定する情報と、前記第1のワークロードによってホストされている前記特定のデータに前記第2のワークロードがアクセスした方式とを含む、請求項8に記載のシステム。 The executable operation is
in response to determining that the second workload can access the data hosted by the first workload, the first workload being accessed by an unauthorized workload; further comprising automatically communicating a notification to a system or compliance administrator indicating that the second workload is hosted by the first workload; and a manner in which the second workload accessed the particular data. 前記第1のワークロードを前記監視することは、
前記データ・プライバシー情報に基づいて、前記第1の場所が前記ワークロードがプロビジョニングされることができる場所であるか否かを判断することをさらに含み、
前前記第1のワークロードのプロビジョニングが可能な前記第2の場所に記第1のワークロードを前記自動的にプロビジョニングすることは、前記第1の場所が前記ワークロードがプロビジョニングされることができる場所ではないとの判断にさらに応答する、請求項8に記載のシステム。 The monitoring of the first workload comprises:
further comprising determining whether the first location is a location where the workload can be provisioned based on the data privacy information;
said automatically provisioning said first workload to said second location capable of provisioning said first workload said first location capable of said workload being provisioned; 9. The system of claim 8, further responsive to determining that the location is not a location. 前記実行可能操作は、
前記第1のワークロードが、前記ワークロードがプロビジョニングされることができる場所ではない場所にプロビジョニングされていることを示す通知を、システムまたは法令順守管理者に自動的に伝達することをさらに含む、請求項11に記載のシステム。 The executable operation is
further comprising automatically communicating a notification to a system or compliance administrator that the first workload is provisioned in a location that is not a location where the workload could be provisioned; The system according to claim 11. 前記実行可能操作は、
前記第1のワークロードについてのワークロード仕様を受け取ることであって、前記ワークロードについての前記ワークロード仕様は前記ワークロードがプロビジョニングされ得るシステムの資源要件を指定する、前記第1のワークロードの前記ワークロード仕様を受け取ることと、
前記第2の場所が前記ワークロードについての前記ワークロード仕様を満たすのに適合する少なくとも1つのシステムを有すると判断することとをさらに含み、
前記第1のワークロードを前記第2の場所に前記自動的にプロビジョニングすることは、前記第2の場所が前記ワークロードについての前記ワークロード仕様を満たすのに適合する前記少なくとも1つのシステムを有するとの判断にさらに応答する、請求項8に記載のシステム。 The executable operation is
receiving a workload specification for the first workload, the workload specification for the workload specifying resource requirements of a system on which the workload may be provisioned; receiving the workload specification;
further comprising determining that the second location has at least one system compatible with meeting the workload specification for the workload;
The automatically provisioning the first workload to the second location comprises: the second location having the at least one system adapted to meet the workload specification for the workload. 9. The system of claim 8, further responsive to determining that. 前記実行可能操作は、
前記特定のデータに関連する前記データ・プライバシー情報をデータ・プライバシー・アドバイザ・アプリケーションに伝達することと、
前記特定のデータに関連する前記データ・プライバシー情報を前記データ・プライバシー・アドバイザ・アプリケーションに前記伝達することに応答して、前記データ・プライバシー・アドバイザ・アプリケーションから許可場所情報を受け取り、前記許可場所情報で示されている場所を候補場所として特定することと、
前記候補場所から前記第2の場所を選択することとをさらに含む、請求項8に記載のシステム。 The executable operation is
communicating the data privacy information related to the particular data to a data privacy advisor application;
In response to said communicating said data privacy information related to said particular data to said data privacy advisor application, receiving authorized location information from said data privacy advisor application; Identifying the location indicated by as a candidate location,
9. The system of claim 8, further comprising: selecting the second location from the candidate locations. 請求項1ないし7のいずれかで特許請求されている方法を開始するようにデータ処理システムによって実行可能なプログラム・コードが記憶されたコンピュータ可読記憶媒体を含むコンピュータ・プログラム製品。 A computer program product comprising a computer readable storage medium having stored thereon program code executable by a data processing system to initiate a method as claimed in any of claims 1 to 7.
JP2020572936A 2018-07-11 2019-06-18 Data privacy awareness in workload provisioning Active JP7369728B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/032,893 2018-07-11
US16/032,893 US10635825B2 (en) 2018-07-11 2018-07-11 Data privacy awareness in workload provisioning
PCT/IB2019/055079 WO2020012270A1 (en) 2018-07-11 2019-06-18 Data privacy awareness in workload provisioning

Publications (2)

Publication Number Publication Date
JP2021531552A JP2021531552A (en) 2021-11-18
JP7369728B2 true JP7369728B2 (en) 2023-10-26

Family

ID=69139143

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020572936A Active JP7369728B2 (en) 2018-07-11 2019-06-18 Data privacy awareness in workload provisioning

Country Status (6)

Country Link
US (3) US10635825B2 (en)
JP (1) JP7369728B2 (en)
CN (1) CN112384889A (en)
DE (1) DE112019002052T5 (en)
GB (1) GB2588056B (en)
WO (1) WO2020012270A1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10635825B2 (en) 2018-07-11 2020-04-28 International Business Machines Corporation Data privacy awareness in workload provisioning
US11328086B2 (en) * 2018-09-06 2022-05-10 Microsoft Technology Licensing, Llc Privacy disclosure
US20230153457A1 (en) * 2021-11-12 2023-05-18 Microsoft Technology Licensing, Llc Privacy data management in distributed computing systems

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012194868A (en) 2011-03-17 2012-10-11 Ntt Data Corp Movement request device, movement request method and movement request program
JP2015035061A (en) 2013-08-08 2015-02-19 富士通株式会社 Virtual machine management method, virtual machine management program, and virtual machine management device
JP2016515746A (en) 2013-04-19 2016-05-30 ニシラ, インコーポレイテッド A framework for coordinating endpoint security and network security services

Family Cites Families (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7681032B2 (en) 2001-03-12 2010-03-16 Portauthority Technologies Inc. System and method for monitoring unauthorized transport of digital content
JP2003216449A (en) * 2002-01-23 2003-07-31 Nec Corp Patch processing system
US20050076233A1 (en) 2002-11-15 2005-04-07 Nokia Corporation Method and apparatus for transmitting data subject to privacy restrictions
US20050065823A1 (en) 2003-09-23 2005-03-24 Siemens Medical Solutions Usa, Inc. Method and apparatus for privacy checking
US8561126B2 (en) 2004-12-29 2013-10-15 International Business Machines Corporation Automatic enforcement of obligations according to a data-handling policy
US9231886B2 (en) * 2005-03-16 2016-01-05 Adaptive Computing Enterprises, Inc. Simple integration of an on-demand compute environment
US8707383B2 (en) * 2006-08-16 2014-04-22 International Business Machines Corporation Computer workload management with security policy enforcement
US9069599B2 (en) 2008-06-19 2015-06-30 Servicemesh, Inc. System and method for a cloud computing abstraction layer with security zone facilities
US8321204B2 (en) 2008-08-26 2012-11-27 Saraansh Software Solutions Pvt. Ltd. Automatic lexicon generation system for detection of suspicious e-mails from a mail archive
US10565065B2 (en) * 2009-04-28 2020-02-18 Getac Technology Corporation Data backup and transfer across multiple cloud computing providers
US20110126197A1 (en) 2009-11-25 2011-05-26 Novell, Inc. System and method for controlling cloud and virtualized data centers in an intelligent workload management system
US8473752B2 (en) * 2010-03-17 2013-06-25 Lenovo (Singapore) Pte. Ltd. Apparatus, system, and method for auditing access to secure data
US20120005720A1 (en) 2010-07-01 2012-01-05 International Business Machines Corporation Categorization Of Privacy Data And Data Flow Detection With Rules Engine To Detect Privacy Breaches
US9727751B2 (en) 2010-10-29 2017-08-08 Nokia Technologies Oy Method and apparatus for applying privacy policies to structured data
CN102779114B (en) 2011-05-12 2018-06-29 商业对象软件有限公司 It is supported using the unstructured data of automatically rule generation
US8661500B2 (en) 2011-05-20 2014-02-25 Nokia Corporation Method and apparatus for providing end-to-end privacy for distributed computations
US9229777B2 (en) * 2011-08-08 2016-01-05 International Business Machines Corporation Dynamically relocating workloads in a networked computing environment
US20130167192A1 (en) 2011-12-27 2013-06-27 Wellpoint, Inc. Method and system for data pattern matching, masking and removal of sensitive data
US9086929B2 (en) * 2012-04-06 2015-07-21 International Business Machines Corporation Dynamic allocation of a workload across a plurality of clouds
US9536108B2 (en) 2012-10-23 2017-01-03 International Business Machines Corporation Method and apparatus for generating privacy profiles
EP2782041B1 (en) 2013-03-22 2018-11-14 F. Hoffmann-La Roche AG Analysis system ensuring that sensitive data are not accessible
US9424421B2 (en) * 2013-05-03 2016-08-23 Visa International Service Association Security engine for a secure operating environment
US9300691B1 (en) 2013-07-18 2016-03-29 Symantec Corporation Systems and methods for enforcing secure network segmentation for sensitive workloads
US9330108B2 (en) * 2013-09-30 2016-05-03 International Business Machines Corporation Multi-site heat map management
US9544306B2 (en) 2013-10-29 2017-01-10 Airwatch Llc Attempted security breach remediation
US20150156131A1 (en) * 2013-12-04 2015-06-04 International Business Machines Corporation Method and system of geographic migration of workloads between private and public clouds
US10091238B2 (en) * 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
US9521122B2 (en) 2014-05-09 2016-12-13 International Business Machines Corporation Intelligent security analysis and enforcement for data transfer
US9912529B2 (en) * 2014-08-20 2018-03-06 International Business Machines Corporation Tenant-specific log for events related to a cloud-based service
CN104253870B (en) 2014-09-29 2018-01-12 广州华多网络科技有限公司 The method and apparatus of control data access cycle
US20160127417A1 (en) 2014-10-29 2016-05-05 SECaaS Inc. Systems, methods, and devices for improved cybersecurity
WO2016135618A1 (en) 2015-02-26 2016-09-01 Strato Scale Ltd. Ordering schemes for network and storage i/o requests for minimizing workload idle time and inter-workload interference
US9609026B2 (en) 2015-03-13 2017-03-28 Varmour Networks, Inc. Segmented networks that implement scanning
US9467476B1 (en) 2015-03-13 2016-10-11 Varmour Networks, Inc. Context aware microsegmentation
US10212178B2 (en) 2015-04-07 2019-02-19 Zingbox, Ltd. Packet analysis based IoT management
US20170041264A1 (en) 2015-08-07 2017-02-09 Sensaura Inc. System and method for controlling data transmissions using human state-based data
US9953182B2 (en) * 2015-09-29 2018-04-24 International Business Machines Corporation Inter-process access control
US10140438B2 (en) 2015-12-16 2018-11-27 International Business Machines Corporation Hidden separation and access to data on a device
US10204384B2 (en) 2015-12-21 2019-02-12 Mcafee, Llc Data loss prevention of social media content
CN105657009B (en) 2015-12-30 2018-12-21 浪潮(北京)电子信息产业有限公司 Object gateway SiteServer LBS, method and trans-regional object gateway storage system
CN109923548B (en) * 2016-10-11 2022-06-10 佰倬信息科技有限责任公司 Method, system and computer program product for implementing data protection by supervising process access to encrypted data
US10664364B2 (en) * 2016-10-18 2020-05-26 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Transferring a server configuration parameter along with a workload
US20180176206A1 (en) * 2016-12-15 2018-06-21 Bank Of America Corporation Dynamic Data Protection System
US10839098B2 (en) 2017-04-07 2020-11-17 International Business Machines Corporation System to prevent export of sensitive data
US11121875B2 (en) * 2017-10-20 2021-09-14 Illumio, Inc. Enforcing a segmentation policy using cryptographic proof of identity
US11075937B2 (en) * 2018-02-22 2021-07-27 Illumio, Inc. Generating a segmentation policy based on vulnerabilities
US10970269B2 (en) * 2018-05-07 2021-04-06 Microsoft Technology Licensing, Llc Intermediate consistency levels for database configuration
US10635825B2 (en) 2018-07-11 2020-04-28 International Business Machines Corporation Data privacy awareness in workload provisioning

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012194868A (en) 2011-03-17 2012-10-11 Ntt Data Corp Movement request device, movement request method and movement request program
JP2016515746A (en) 2013-04-19 2016-05-30 ニシラ, インコーポレイテッド A framework for coordinating endpoint security and network security services
JP2015035061A (en) 2013-08-08 2015-02-19 富士通株式会社 Virtual machine management method, virtual machine management program, and virtual machine management device

Also Published As

Publication number Publication date
GB2588056B (en) 2022-06-08
US10949545B2 (en) 2021-03-16
CN112384889A (en) 2021-02-19
GB202020078D0 (en) 2021-02-03
US20210173942A1 (en) 2021-06-10
US20200019713A1 (en) 2020-01-16
US20200202011A1 (en) 2020-06-25
US10635825B2 (en) 2020-04-28
US11610002B2 (en) 2023-03-21
GB2588056A (en) 2021-04-14
DE112019002052T5 (en) 2021-01-07
WO2020012270A1 (en) 2020-01-16
JP2021531552A (en) 2021-11-18

Similar Documents

Publication Publication Date Title
US10841328B2 (en) Intelligent container resource placement based on container image vulnerability assessment
US10972540B2 (en) Requesting storage performance models for a configuration pattern of storage resources to deploy at a client computing environment
CN111868727B (en) Method and system for data anonymization
US10581970B2 (en) Providing information on published configuration patterns of storage resources to client systems in a network computing environment
US10972586B2 (en) Reusable message flow between applications of a message broker integrated systems environment
US11610002B2 (en) Data privacy awareness in workload provisioning
US10944827B2 (en) Publishing configuration patterns for storage resources and storage performance models from client systems to share with client systems in a network computing environment
US20200278975A1 (en) Searching data on a synchronization data stream
US9571500B1 (en) Context sensitive security help
CN114640713B (en) Data access monitoring and control
US10140163B2 (en) Intelligent framework for shared services orchestration
JP7377058B2 (en) Computer-implemented methods, computer systems, and computer programs for suspending communications to/from non-compliant servers through firewalls
US20150234651A1 (en) Managing deployment of application pattern based applications on runtime platforms
US9021479B2 (en) Enforcing machine deployment zoning rules in an automatic provisioning environment
CN111095310A (en) Enabling dynamic and automatic modification of user profiles to enhance performance
US20210109905A1 (en) Processing metrics data with graph data context analysis
US20220229934A1 (en) Recursively adapting a sensitive content masking technique

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20201228

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20210422

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20201225

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220506

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230725

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230907

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230926

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231016

R150 Certificate of patent or registration of utility model

Ref document number: 7369728

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150